Sicherheitslücke: Hacker können Benzin-Preis selbst bestimmen
Publiziert

SicherheitslückeHacker können Benzin-Preis selbst bestimmen

Zwei Sicherheitsforschern ist es gelungen, Zapfsäulen zu kapern. So waren sie in der Lage, sensible Daten zu sehen – und sogar den Preis des Benzins zu ändern.

von
tob
1 / 3
Zwei Sicherheitsforschern ist es gelungen, ein Verwaltungssystem für Tankstellenbetreiber zu kapern. Sie konnten über eine Schwachstelle unter anderem die Preise an der Zapfsäule manipulieren und Kreditkartendaten von Kunden einsehen.

Zwei Sicherheitsforschern ist es gelungen, ein Verwaltungssystem für Tankstellenbetreiber zu kapern. Sie konnten über eine Schwachstelle unter anderem die Preise an der Zapfsäule manipulieren und Kreditkartendaten von Kunden einsehen.

iStock/Djedzura
Der Zugriff gelang über eine Web-Oberfläche, die eigentlich für die Betreiber gedacht ist. Den IT-Experten gelang es, den Passwortschutz zu umgehen.

Der Zugriff gelang über eine Web-Oberfläche, die eigentlich für die Betreiber gedacht ist. Den IT-Experten gelang es, den Passwortschutz zu umgehen.

Orpak
Das System, das von der isrealischen Firma Orpak entwickelt wurde, wird laut Motherboard.vice.com an mehreren Tausend Tankstellen weltweit eingesetzt. Der Hersteller wurde informiert. Ob die Lücke im System bereits geschlossen ist, ist unklar.

Das System, das von der isrealischen Firma Orpak entwickelt wurde, wird laut Motherboard.vice.com an mehreren Tausend Tankstellen weltweit eingesetzt. Der Hersteller wurde informiert. Ob die Lücke im System bereits geschlossen ist, ist unklar.

Orpak

Beim Tanken des Autos den Preis des Benzins selbst bestimmen? Was für viele Autofahrer ein Traum sein dürfte, ist IT-Experten gelungen. Eine Lücke in einer Verwaltungssoftware für Tankstellen machte es möglich.

Als Ido Naor im vergangenen Juni sein Auto betanken wollte, stürzte das System ab und die Zapfsäule in Israel zeigte eine IP-Adresse an. Als der Sicherheitsforscher von Kaspersky Lab diese dann analysierte, zeigte sich erst, was für ein grober Fehler dies war.

Zugriff via Web-Oberfläche

Mithilfe seines Kollegen Amihai Niederman gelang es ihm, aus der Ferne auf die Web-Oberfläche der Tankstellen-Software der israelischen Firma Opak Systems zuzugreifen. Mit einer gezielten Suche im Netz fanden sie weitere Tankstellen, die ungeschützt mit dem Internet verbunden waren.

Verheerend dabei: Eine spanische Tankstelle nutzte das Passwort, das in der Betriebsanleitung stand. So gelang es den IT-Experten, die gesamte Software herunterzuladen und weiter zu analysieren.

Preise ändern, Daten abgreifen

So fanden sie weitere Lücken im System und waren nun in der Lage, die Abfrage des Passworts komplett zu umgehen. Um zu testen, was damit alles möglich ist, holten sie sich die Erlaubnis eines israelischen Tankstellenbetreibers. Es gelang ihnen nicht nur, das System mit einem Smartphone zu kapern, sie konnten auch die Preise des Treibstoffs ändern, Kreditkartendaten von Kunden abgreifen und danach alle Spuren verwischen.

Die Sicherheitsforscher kontaktierten im September 2017 den Hersteller, um die Lücken zu melden. Nachdem bekannt geworden war, dass die beiden IT-Experten ihre Forschung öffentlich machen, bat Orpak sie zu einem Treffen – das jedoch nie stattfand. Wie Motherboard.vice.com schreibt, sei es unklar, ob die Lücken mittlerweile geschlossen wurden. Auf die entsprechende Frage gab der Hersteller keine schlüssige Antwort. Das System der Firma ist laut eigenen Angaben auf mehreren zehntausend Tankstellen in 60 Ländern zu finden.

Deine Meinung