Sehr geehrter Herr Born<\/p>\n
vielen Dank f\u00fcr Ihre Meldung. Bitte betrachten Sie diese Mail als Eingangsbest\u00e4tigung, da wir f\u00fcr Sie vermutlich der einzige auffindbare Eingangskanal waren, thematisch allerdings nicht verantwortlich sind. Die Meldung wurde jedoch an die zust\u00e4ndigen Kollegen weitergeleitet und wird derzeit bearbeitet.<\/p><\/blockquote>\n
Einen Tag sp\u00e4ter meldete sich der f\u00fcr Cyber-Security Verantwortliche von Volkswagen Financial Services AG telefonisch. Im Gespr\u00e4ch erw\u00e4hnte er, dass der Blog hier durchaus bekannt sei und man die Schwachstelle im Rahmen eines Audits bereits als \"zu beheben\" identifiziert habe. Auf Grund meiner Meldung werde man die betreffende Software \u00e4ndern lassen.<\/p>\n
VW l\u00e4sst EVA korrigieren<\/h2>\n
Vom Blog-Leser hatte ich inzwischen die Information, dass die Korrekturen Anfang M\u00e4rz 2024 geplant seien. Zwischenzeitlich erhielt ich vom Leser dann die Information, dass sich zwar etwas tue, das aber wohl nicht reibungslos \u00fcber die B\u00fchne gehe.<\/p>\n
Und vor der Anpassung wurden s\u00e4mtliche Benutzerpassw\u00f6rter im Klartext in einer Datenbanktabelle (ADVISOR) gespeichert. Nun best\u00e4tigt der Leser, dass die Passw\u00f6rter auch nicht mehr in die Tabelle \"ADVISOR\" geschrieben werden – dort stehe nur noch eine Zeichenkette ******* als Passwort.<\/p>\n
Laut Leser mussten alle EVA-Benutzer in den Autoh\u00e4usern ihr Login-Passwort \u00e4ndern. Zudem sollten die Passw\u00f6rter der Admin-User SYS<\/em> und SYSTEM<\/em> von den Autoh\u00e4usern eigenverantwortlich ge\u00e4ndert werden. SYS ist der Benutzer f\u00fcr das Autohaus, w\u00e4hrend EVA eigene Benutzerkennungen verwendet.<\/p>\nWeiterhin sei von Seiten VW kommuniziert worden, dass die Passw\u00f6rter der EVA-Datenbankbenutzer EVA<\/em>, EVA_USER<\/em> und EVAST<\/em> regelm\u00e4\u00dfig erneuert werden w\u00fcrden<\/span>. Die \u00c4nderung des Passworts f\u00fcr den SYS-Benutzer hatte aber den Kollateralschaden, dass das EVA-Update nicht mehr funktionierte. Seit dem 22.4.2024 funktioniert das EVA-Update aber auch mit ge\u00e4nderten Kennw\u00f6rtern.<\/p>\nZum 19. April 2024 kam dann die R\u00fcckmeldung von Volkswagen Financial Services AG telefonisch und sp\u00e4ter auch per E-Mail, dass die von mir gemeldete Auff\u00e4lligkeit im EVA-Client behoben sei.<\/p>\n
An dieser Stelle mein Dank an den Blog-Leser f\u00fcr den Hinweis. Positiv m\u00f6chte ich an dieser Stelle die Reaktion bzw. Zusammenarbeit mit VW vermerken. Ich hatte die Angelegenheit ja zentral beim Konzern auf deren Cyber-Security-Seite gemeldet. Die mussten erst intern Zust\u00e4ndigkeiten kl\u00e4ren, und trotzdem hatte ich binnen eines Tages die R\u00fcckmeldung, dass man sich k\u00fcmmert.<\/p>\n
Dass die Umstellung der EVA-Client-Software in den diversen Autoh\u00e4usern von Audi und VW nicht binnen weniger Tage erfolgen kann, ist auch nachvollziehbar. Jedenfalls ist das Ganze – was die Kommunikation mit mir betrifft – ungewohnt professionell und akkurat verlaufen (das kenne ich von anderen Stellen auch anders). Jedenfalls ist das Thema nach meinen Kenntnissen nun \"vom Tisch\".<\/p>\n
\u00c4hnliche Artikel:<\/strong>
\nDatenleck beim Bauhaus-Shop legte Bestellungen von Plus Card-Inhabern offen<\/a>
\nBauhaus-App: Funktion um Kassenbon zu scannen (aus Sicherheitsgr\u00fcnden) entfernt?<\/a>
\nBAUHAUS-App wieder mit Scan-Funktion f\u00fcr Kassenbons<\/a>
\nIHK Oldenburg: Sicherheitsl\u00fccken in Tibros-Online<\/a>
\nGeh\u00e4rteter Online-Banking-Browser S-Protect, ein Totalausfall?<\/a>
\nNachlese: Geh\u00e4rteter Online-Banking-Browser S-Protect, neue Version, neue Erkenntnisse<\/a>
\nFestes SA SQL-Passwort bei windata 9-Banking-Software<\/a>
\nAnyDesk-Hack Undercover \u2013 weitere Informationen und Gedanken<\/a> \u2013 Teil 2
\nDatenpanne bei Swiss\/Lufthansa: Fremde Daten einsehbar, Apples Siri \u00fcbernimmt<\/a>
\nIT-Experte, der Modern Solutions Schwachstelle \u00f6ffentlich gemacht hat, muss nun doch vor Gericht<\/a>
\nUrteil des LG Aachen (Fall Modern Solution-Schwachstelle) liegt vor<\/a>
\nHauptverhandlung gegen Entdecker der Modern Solutions-Schwachstelle im Januar 2024<\/a>
\nAmtsgericht J\u00fclich verurteilt Entdecker der Modern Solutions-Schwachstelle zu Geldstrafe (Jan. 2024)<\/a>
\nM\u00f6gliche Schwachstelle bei Ticket-System der Koelnmesse aufgedeckt, gibt es einen 2. Modern Solutions-Fall?<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"Bei allen VW und Audi H\u00e4ndlern wird die EVA-Software (Elektronischer Verk\u00e4uferarbeitsplatz) zur Unterst\u00fctzung eingesetzt. Die Software arbeitet mit einer Datenbank, in der dann auch Kundendaten gespeichert werden. Ein Blog-Leser wies mich darauf hin, dass die Zugangsdaten f\u00fcr die Oracle-Datenbank fest … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-295069","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/295069","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=295069"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/295069\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=295069"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=295069"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=295069"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Bei allen VW und Audi H\u00e4ndlern wird die EVA-Software (Elektronischer Verk\u00e4uferarbeitsplatz) zur Unterst\u00fctzung eingesetzt. Die Software arbeitet mit einer Datenbank, in der dann auch Kundendaten gespeichert werden. Ein Blog-Leser wies mich darauf hin, dass die Zugangsdaten f\u00fcr die Oracle-Datenbank fest in der Software abgelegt sind und seit 20 Jahren unver\u00e4ndert w\u00e4ren. Ich habe den Kontakt mit VW \u00fcbernommen, und deren Sicherheitsabteilung hat inzwischen diese Schwachstelle beseitigen lassen.<\/p>\n![\"EVA:](\"https:\/\/i.postimg.cc\/htDNRrmZ\/image.png\" "\\"EVA:")
<\/p>\n