Weiteres Model S gestohlen (Neuss)

Falls noch nicht bekannt

Sieht so aus als wäre es jemand aus dem Forum hier:

der eine ist aus Neuss und der Andere aus Köln (Porz) müssen also zwei verschiedene sein

Nein, dessen Wagen wurde letzte Nacht in Köln gestohlen (der andere Thread: [url]WARNUNG AN DIE KÖLNER Pingu wurde in Köln-Zündorf Gestohlen! - #3 von J.R]).

Sind ca. 40km Luftlinie zwischen den beiden Fällen. Der in Speck (genau genommen in Helpenstein) ist bei mir um die Ecke, ich frage mich wie die den gefunden haben. Ganz kleiner Ort, keine Durchgangsstraße, Straße hinten ins Grüne raus. Die müssen ja den Leuten nach Hause hinterherfahren. Gruselig.

Wen dem so ist wären das dann mindestens zwei auf einen Schlag :open_mouth:

Genau einer in grau und der andere blau

Facelift mit wünderschönen weiße Sitze. Ich will weinen.

Du hast meine Anteilnahme, mein Lieber. So eine kacke.

Ich hoffe, hier ist nicht eine neue Sicherheitslücke aufgekommen.

So ein Mist. Hattest Du denn den Schlüssel in Funkreichweite? Oder die automatische Öffnung abgeschaltet? Man fragt sich ja, woher die überhaupt wissen, dass genau an der Stelle der Tesla nachts parkt. Wegen diesem Funkgedönse müssen das doch Profis sein, die die Addresse irgendwoher haben.

Wer immer eine App oder Anwendungen Dritter verwendet geht ein unkalkulierbares Risiko ein. Passive Entry ist handhabbar. Aber es ist auch nicht ausschließen das der FOB an sich gehackt ist. Wir werden sehen.

Herzliches Beileid auf jeden Fall und die Diebe möge der Blitz beim Scheisen treffen.

Es hat sich nicht verhindern lassen dass ich mir im Zuge dessen mal wieder etwas Gedanken zum Sicherheitsthema gemacht habe.

Zur API:
Wenn jemand von Diebstahl betroffen ist, werden relativ rasch Dritthersteller Apps als Ursache ins Rennen geworfen. Soweit ich weiß, wurde so ein Angriff aber noch nie nachgewiesen. Das ändert aber nichts daran, dass die API dringend mehr Security-by-design braucht. Tesla muss, für Leute die Daten loggen möchten, deshalb endlich die Möglichkeit einführen, einen Sub-Account anzulegen der weniger Rechte hat. Zum Beispiel nur Leserechte, oder zumindest nicht das Recht, mit dem Auto wegzufahren.
Damit wäre dieser Angriffsvektor schon mal massiv entschärft.
Oder vielleicht eine Einstellung im Auto, mit der sich das schlüssellose Wegfahren generell deaktivieren lässt. Wär auch schon fein. Ich zum Beispiel nutze die App nur für Standardaufgaben wie Vorklimatisieren. Auf ein schlüsselloses Fahren nach App Authentifizierung lege ich keinen Wert, da nehme ich auch zusätzlichen Aufwand in Kauf bei Schlüsselverlust, vergessen etc.

Derzeit werden fast täglich von irgendwelchen Web Diensten ganzen Datenbanken abgegriffen. Man stelle sich vor, jemand holt sich die ganze Benutzerdatenbank von teslafi - was für eine Horrorvision. Tausende Tesla Accounts, idealerweise gleich mit Standortdaten wo sich die Fahrzeuge bei der letzten Kontaktaufnahme befanden.
Zudem sage ich voraus: Mit steigender Größe der der Tesla Flotte werden Phishing Mails kommen („Ihr Tesla Account benötigt Verifizierung!“), um Zugangsdaten abzugreifen.
Das ist jetzt schon sehr gefährlich, weil üblicherweise einkassierte Zugangsdaten gleich mal bei allen möglichen Diensten durchprobiert werden. Viele benutzen für alle möglichen Accounts die selbe E-Mail Adresse und das selbe Kennwort. Wenn man auf ein Phishing Formular reingefallen ist, muss man damit rechnen dass die übermittelten Zugangsdaten bei allen populären Plattformen durchprobiert werden. Da mag Tesla vielleicht noch nicht dazu gehören, die Gefahr besteht aber, zumal das alles automatisiert abläuft und den Angreifer nicht viel Zeit kostet.

Zum FOB:
Gegen eine Funkverlängerung ist man ja offenbar, Easy Entry abschalten ausgenommen, relativ machtlos. Hier wäre eine Horrorvision eine Lücke in dem Konzept an sich, zb. dass jemand drauf kommt das das Auto auch auf Übermittlung von irgendwelchen Dummy Signalen reagiert. Also vergleichbar mit der Apple Lücke vor kurzem, wo jemand bemerkte dass man sich als root mit leerem Kennwort anmelden kann, unter leicht herstellbaren Bedingungen. Hier macht mir aber auch das Konzept des M3 Sorgen, das sich ja bei Bluetooth Verbindung mit dem Handy des Besitzers öffnen soll. Hier sind Angriffe mMn. vorprogrammiert.

Was die Aufklärung angeht:
Im anderen aktuellen Thread wurde erwähnt, dass laut Tesla das Auto das letzte mal um drei Uhr morgens „sichtbar“ war. Die müssten doch in den Logs auch sehen, wie das Öffnen/Starten des Wagens zustande kam. Also ob durch App oder durch FOB.

Genau aus dem Grund habe ich mir eine neue eMail-Adresse angelegt, die ich ausschließlich für myTesla nutze. Auf der Adresse kommt also keine Werbung/Spam oder sonstiger eMail-Verkehr an. Drittanbieter-Apps für Tesla meide ich komplett. Zusätzlich habe ich dann noch PassiveEntry deaktiviert. Ich denke, viel mehr an „Sicherheit“ kann nicht machen, ohne das es dann auch zu unkomfortabel wird (z.B. Lenkradkralle). Mir persönlich wäre das zu umständlich. Ich denke uns allen ist klar, dass es keine absolute Sicherheit gibt, aber man kann zumindest das Risiko minimieren, wenn man ein paar Grundregeln beachtet.

Eins kann man noch tun, ab und zu das Tesla Passwort ändern, gerade nach solchen Nachrichten hier, sollten Daten im Umlauf sein ist durch die Änderung des Passwortes erstmal wieder etwas mehr Sicherheit hergestellt.

Guter Punkt, sustain. Kennwörter sollte man ja generell regelmäßig ändern.

Natürlich. Aber das alles wäre weniger gefährlich, wenn jemand mit meinem Login schlimmstenfalls vorheizen könnte.
Daher würde ich es sehr schätzen wenn ich das fahren ohne fob an Board deaktivieren könnte. Eventuell auch das öffnen des Fahrzeugs.

Nein, mittlerweile sehen das viele anders.

20 oder mehr Kennwörter die sich ändern kann sich keiner merken, diese werden dann irgendwo zentral abgelegt und können komplett abgegriffen werden.

Das ist nicht mehr richtig. Früher hat man so gedacht. Aber das führt zu aufgeschriebenen oder per Algorithmus zu erschließenden Passwörtern, niemand kann sich dauernd gute Passwörter merken.

Also gutes Passwort und dieses nicht irgendeinem Code vorwerfen. Wer sich Sorgen um die Aufbewahrung bei Tesla macht sollte sich noch viel mehr um die bei irgendwelchen Hobby-App. oder Cloud Bastlern machen. Gerade die aktuelle Generation hat keine Ahnung von Security, glaubt die Cloud Provider die ihnen Hardware stellen, etc. machen das schon…

Ich kann nur sagen: Finger weg.

:smiley: überschnitten. Absolut richtig.

Ihr mögt ja vielleicht recht haben, ich halte aber wenig von solch pauschalen Verallgemeinerungen. Ich für meinen Teil mach das regelmässig und meine Passwörter sind abgriffsicher gelagert :wink:. Ich hab mein Passwort geändert nach der Info hier, das kann aber jeder machen wie er gern möchte.