[English]Der Anbieter EasyPark musste eingestehen, dass er zum 10. Dezember 2023 Opfer eines Cyberangriffs geworden ist, bei dem auch Daten abgeflossen sind. Aber hey, wir haben noch mal Glück gehabt, der Anbieter sieht das als "Abfluss von nicht sensiblen Kundendaten". Nun ja, "ich weiß", wo Du letztens geparkt hast, kenne deine E-Mail-Adresse und Anschrift und wie Du bezahlst. Denn die Kundendaten werden für 39.995 US-Dollar im Internet angeboten. Schnäppchen-Preis, aber sind ja auch nicht sensible Daten, die sind nichts wert.
Anzeige
EasyPark-Datensätze im Internet
Ich bin gerade über einen Tweet von HackManac auf den Sachverhalt aufmerksam geworden. Ein Cyberkrimineller mit dem Decknamen "hameraib" bietet 21,1 Millionen Datensätze in einem Hacking-Forum zum Verkauf an, von dem er behauptet, dass diese aus dem EasyPark-Hack stammen.
Laut Angaben des Verkäufers sollen die Datensätze aus dem Cybervorfall von Dezember 2023 vollständige Namen, Telefonnummern, Adressen, E-Mail-Adressen und teilweise Kreditkarten- oder IBAN-Details enthalten. Das Ganze Angebot kann zum Preis von 39.995 Dollar gekauft werden. Über die Authentizität der Daten kann ich nichts sagen.
Wer ist EasyPark?
EasyPark ist ein privater Anbieter (eine Group mit Hauptsitz in Stockholm, Schweden), der sich unter dem Motto "Dein zuverlässiger Begleiter für unterwegs" das Verwalten von Parkraum und das Begleichen von Parkgebühren auf die Fahnen geschrieben hat. Dazu arbeitet der Anbieter mit Städten und Parkplatzbetreibern zusammen, damit Autos (laut eigener Aussage) "sicher und einfach geparkt werden können".
Anzeige
Es braucht eine App von EasyPark, es braucht eine Registrierung bei EasyPark, und die Zahlungsvorgänge laufen auch über diese App. Nutzer können die App zur Suche nach Parkplätzen verwenden, und auf vielen Parkautomaten in Städten findet sich inzwischen ein EasyPark-Aufkleben. Im dümmsten Fall kann nur parken, wer sich die App von EasyPark auf einem Smartphone installiert, sich beim Anbieter mit Zahlungsinformationen registriert und dann den Parkplatz in der App bucht.
Der EasyPark-Cybervorfall
Ich hatte im Beitrag EasyPark Opfer eines Cyberangriffs, Datenabfluss hat stattgefunden (Dez. 2023) über den Vorfall berichtet. Am 10. Dezember 2023 hat der Anbieter festgestellt, dass er Opfer eines Cyberangriffs geworden ist. Mir ist die Meldung ins Auge gesprungen, weil der Anbieter meinte, dass nur einige Kundendaten betroffen waren, die nicht sensibel seien.
Die Aussage, dass keine Daten gestohlen wurden, die als "sensibel" gelten, entnehmen die Spezialisten dieser EU-Klassifizierung zur Rechtsgrundlage der Datenverarbeitung im Sinne der DSGVO, die sich aber explizit damit befasst, welche Daten (sexuelle Orientierung, Rasse/Ethnie, genetische und Gesundheitsdaten etc.) unter diese Rechtsgrundlage fallen. Die Rechtsgrundlage beschreibt, unter welchen Bedingungen (Erwägungsgründe) Unternehmen diese Daten überhaupt verarbeiten dürfen. Über die Details des Hacks kann man sich in meinem oben verlinkten Blog-Beitrag informieren.
Anzeige
Digitalisierung nein Danke,
zuhnemend habe ich keine Lust mehr auf die "Digitalisierung", jeden Tag aufs Neue erleben wir einen Daten GAU nach dem Anderen. Wir können uns die längsten Passwörter ausdenken, PW Manager nutzen etc. letztendlich sind wir doch nicht geschützt, immer mehr unfähige Firmen, Organisationen verwalten unsere Daten. Das Problem ist, dass wir uns freiwillig dem nicht mehr entziehen können, alles soll immer mehr und mehr digitalisiert werden (e-Rezept, digitale Patienten Akte,….)
Ich sehe da keine Hoffnung auf Besserung.
Angeblich soll auch Nutzung ohne Anmeldung und App funktionieren.
Der Vorteil der App ist, dass man aus der Ferne die Parkzeit verlängern kann und auch verkürzen, falls es unverhofft schneller ging. Nur dann spart man auch Geld. Ansonsten will easypark auch verdienen.
Und kein Kleingeld nötig und auch im Ausland problemlos.
z.B. gibt es in Norwegen Parkplätze, die Kamera überwacht sind. Da muss man beim Bezahlen das Kennzeichen eingeben und bekommt die Parkzeit präsentiert.
Das entfällt mit easypark
Nutzung ohne Anmeldung und App. Schön. Zahlungsdaten hinterlegt man trotzdem und werden natuerlich auch irgendwo gespeicht.
Das mit dem Bezahlen mit Kennzeichen gibt es auch bei uns, z.B. Parkhaus in Frankfurt.
Bezahlen nach Kennzeichen wurde hier erfolgreich wieder weggeklagt. Ein größeres Einkaufszentrum hatte 2 Stunden frei, dann mußte man an einen Automaten gehen (dort ging auch Barzahlung). Trotzdem fühlten sich einige durch die Kameras verfolgt.
Was an einer anderen Stelle noch geht ist Parken per SMS (Abrechnung über Telefonrechnung). Auch da muß man das Kennzeichen und die geplante Parkdauer angeben. Dort stand früher ein Parkscheinautomat, der allerdings mehrfach vandalisiert wurde.
Ich hatte ja erinnerungsmäßig meinen Schwank mit dem Hessentag 2023 und der Parkraumbewirtschaftung hier im Blog thematisiert. Die wollten nur Parken per App, außer Senioren ohne Smartphone, die dann 5 Euro mehr zahlen sollten.
-> Recherche: Zig Kunden des Parkraumbewirtschafters beklagten sich, Ticket für gänzlich andere Städte bekommen zu haben (falsches Kennzeichen eingeben reichte wohl) …
-> Conclusio: Das mit deren Park-App machst Du nicht – und statt nach Pfungstadt auf den Hessentag bin ich mit Familie dann in den Odenwald nach Eberbach gefahren. Geht auch, ohne App, und war ein genialer Tag.
Den Easypark-bewirtschafteten Parkplatz, welchen ich mal besucht hatte, konnte man nicht ohne App nutzen. Noch schlimmer ist die Tatsache, dass du neben den Parkgebühren auch noch für die Nutzung der Zwangsapp Gebühren zahlen musst.
Bei uns in Dresden geht das simpel und effektiv ohne App. Neben der Zahlmöglichkeit am Automaten kannst du über eine einfache Webseite deinen Parkplatz bezahlen. Ganz ohne Registrierung. Standort auswählen, Parkzeit, Kennzeichen und Rechnungsempfänger angeben, eine der Bezahlmöglichkeiten auswählen und parken. Aus der Ferne verlängern ist über diese Seite ebenso möglich.
Zum Glück brauch ich das alles nicht, in der Firma hab ich den reservierten Parkplatz, zuhause sowieso und auf dem Land gibt es überall noch genügend "freie" Parkplätze.
Die Parkplätze Bahnhof Kino etc. haben da noch altmodische Schranken und Kassenautomaten… App fürs parken? Nein Danke! Angriffsvektor Minimierung.
Es ist ja auch nicht nur in Deutschland so. Europa, ach was, die ganze Welt leidet mittlerweile, mehrmals täglich, unter diesem, nennen wir es doch ruhig beim Namen, Cyberwar.
Nicht immer sind es die bösen Russen, Chinesen oder Nordkoreaner.
Nicht immer…
Klauen, erpressen, kaputtmachen, in den Ruin treiben.
Unzählige Menschenleben mal eben ruinieren.
Nichts anderes ist das mehr.
Dann faselt man etwas von "so schlimm war es gar nicht" und "100% Sicherheit gibt es sowie so nicht". Vertuschen so lange wie mögl…ähhh nötig. Denn niemand benötigt schlechte PR in dem Moment des Cyberangriffs…meist kommt die schlechte PR danach automatisch. :D
Unendliche Hinhaltetaktiken kommen zum Einsatz, während man in einem Sumpf aus völlig veralteter Firmware, uralten Windowssystemen und Passwörtern zum Fremdschämen steckt. Und alles und jeder muss trotzdem immer irgendwie am Internet hängen. Koste es was es wolle. Und ist die Technik noch so gut, Social Engineering erledigt auch den letzten, unwissenden Supportmitarbeiter.
Hier fehlt es zusätzlich an sehr, sehr vielen Stellen an Zusammenarbeit und lückenloser Aufklärung. Digitalisierung im Neuland Internet? Ein Witz? Nein, es ist tatsächlich sogar lebensbedrohlich geworden! Hier und da. Aber das sehen zum Glück immer nur ein paar Forenuser mit Aluhut so. ;) Der Rest macht dann einfach erstmal weiter wie immer. Bis zum nächsten Supergau.
Ist doch mittlerweile auch irgendwie gar nichts Besonderes mehr? Oder? Jeden Tag, mehrmals.
Der Otto-Normal-Bürger kann ja noch nicht einmal Einfluss darauf nehmen.
Es passiert jetzt einfach täglich, immer und immer wieder.
Lese heute das erste Mal davon und frage mich wann / wo Easypark mich als Nutzer mal darüber aufklärte.
Mal eine Frage: Wie kommt es dazu, dass die Daten wie IBAN nur zum Teil abgegriffen werden konnten? Irgendwo wird der Anbieter die Daten doch vollständig in der Datenbank für die Zahlungsabwicklung speichern oder nicht?
Oder ging es hier um XSS?
@ Dominik
Moin,
ich hab mich auch gefragt, ob und wie EasyPark seine Kunden dazu mal informieren möchte…
Hab dann erstmal nachgeschaut, wie ich da überhaupt registriert bin. Und wenn ich das richtig sehe, bin ich scheinbar nur mit meiner Handynummer in der App registriert.
Dazu dann eine Zahlungsmethode. Das war's offenbar.
Einen kompletten "Account" inkl. E-Mail, Adresse, usw. musste man zur Nutzung des Dienstes damals scheinbar gar nicht angeben und hab ich offenbar auch nicht.
Ist das bei dir evtl. ähnlich?
In dem Fall bliebe natürlich nur die Information direkt per SMS (abgesehen von öffentlichen Bekanntmachungen).
Dazu kann ich aber sagen: Über den Weg hab ich zumindest bisher keine Info bekommen.
Ich habe schon ein vollständiges Konto mit Mail und Anschrift. Wenn sie wirklich nur zeitweise in der App und auf der Website einen Hinweis hatten, wundert mich nicht, dass ich es nicht mitbekam.
ja so sieht es bei mir auch aus… Mobilfunknummer und per Paypal bezahlt… weiteres habe ich auch nicht angegeben und konnte damit parkzeit buchen.