Bericht in ZDF WISO - Öffnen von Tesla Modellen

Im ZDF WISO am 09.12.2024 wurde gezeigt wie mit „abgegriffenen Daten“ Benutzerkennung, Passwort u.a. ein Tesla geöffnet werden kann.

Es wurde nicht gesagt woher die beiden Herren, die das Experiment durchführten, die Daten abgegriffen haben.

Meine Frage lautet:
Wo werden meine Tesla Daten „Benutzerkennung, Passwort und VIN“ für die Tesla App gespeichert, so dass man diese Daten missbrauchen kann?

Mein Tipp:
Meldet Euch bitte in Eurem Tesla Konto an und dort kann man einige Sicherheitsmassnahmen für sein Konto und Zugriff aktivieren.

Wurde auch gerade ganz panisch angerufen dank dem Bericht…

Noch gibt’s den nicht online

Lass mich raten
PIN zum fahren ist die Lösung wie die letzten X Beiträge zu ähnlich „Lücken“?

Damals wurde ein Anbieter gehackt den Leute freiwillig API Zugang gegeben haben. Und natürlich war Tesla schuld…

Clickbait

EDIT 15.12.24:

Wie berichtet wurde, sind etwa 20.000 Tesla-Zugangsdaten (Benutzername und Passwort) öffentlich zugänglich geworden,
vermutlich infolge eines der bekannten Datenlecks, wie beispielsweise bei LastPass.

Die Details wurden in der WISO-Sendung vom 09.12.2024 thematisiert, die nun online verfügbar ist:
ZDF WISO vom 9. Dezember 2024.

Es bleibt zu hoffen, dass alle betroffenen 20.000Tesla-Besitzer ihre Passwörter bereits geändert haben.

Tests zeigen, dass aktuell jedes Smartphone mit gültigen Tesla-Zugangsdaten (E-Mail + Passwort) in der Tesla-App als digitaler Schlüssel eingerichtet werden kann
– ohne zusätzliche Sicherheitsmaßnahmen wie eine Schlüsselkarte.
Dies erhöht die Angriffsfläche erheblich

Empfohlene Sicherheitsmaßnahmen:

1. Aktivierung der Multi-Faktor-Authentifizierung (MFA):

Anleitung Tesla Multi-Faktor-Authentifizierung www.tesla.com/de_de/support/multi-factor-authentication

MFA-Link: https://mfa.tesla.com/de_de

2. Passwort regelmäßig ändern:
   Sicherstellen, dass das Passwort nicht in Leaks enthalten ist (prüfbar z. B. aufHave I Been Pwned https://haveibeenpwned.com

3. Passwort-Manager mit MFA nutzen:
   Empfehlung: OpenSource KeePassXC (mit YubiKey abgesichert) oder Apple iOS Passwort-App.

Unter Apple iOS MFA bequem einrichten:

• Einrichtung in der iOS-Passwort-App: Kein separater Authenticator nötig.

• 2FA-Codes werden direkt in der iOS-Passwortverwaltung generiert, sicher gespeichert und durch Face ID automatisch auf der Tesla Website eingefügt.
Selbsterklärend, Dauer zur Einrichtung unter 3 Minuten.

Ablauf Tesla-Login nach MFA-Aktivierung:

1. Benutzername (E-Mail-Adresse),

2. Passwort,

3. Einmal-Passwort aus Authentifikator-App

Backup-Maßnahmen:

• Ein zweites Gerät hinterlegen.

• Die 10 Backup-Codes ausdrucken und sicher aufbewahren.

Vielleicht kann jemand aus der Community dazu einen Leitfaden für Android-Nutzer bereitstellen?

Es wurde doch am Anfang des Beitrags gesagt, dass die aus gehackten Daten von Passwortmanagern stammen.
Und das nicht nur Tesla betroffen ist.

Bei dem Namen gibt es halt den meisten Zulauf …

Leute die ohne 2FA ein Auto fahren sollten vielleicht auch mal drüber nachdenken was zum Teufel Sie da tun.

Du meinst den Login zum Tesla Online Kto?

https://mfa.tesla.com

Passkeys würde ich gerne nutzen

Genau. Mein Vater hat den Beitrag auch gesehen und gefragt weil er das Interface der App erkannte.

Dass die 2FA oder ein Passkey nicht zur Pflicht wird sobald ein Auto im Account hinterlegt ist verstehe ich halt nicht. Nicht jeder ist technisch versiert um zu verstehen was passieren kann wenn die Mail-Adresse und das Passwort im Darknet verschwindet.

FUD ignorieren ist das einzig sinnvolle hier.

Sorry, aber wer grob fahrlässig handelt, hat es nicht anders verdient. Früher waren es Passwortzettel unter der Tastatur…

Aber sicher wäre es gut wenn Tesla es vorschreibt.

Und wieviele Autoschlüssel findet man in Jackentaschen an der Restaurantgarderobe? Ist das auch einen Artikel wert?

Ich empfehle euch den Film „leave the world behind“ auf Netflix

Sensation! Und nächste Woche bei WISO:
Wie 2 Diebe den Autoschlüssel eines VW entwenden und damit wegfahren.

Ich habe es gestern nicht gesehen, heute Morgen zwei Nachrichten jedoch von Freunden gehabt.
Unglaublich
Solche Nachrichten wieder…

Als es Funksensoren im Schlüssel gab, war das auch so, die Schlüssel waren hinter der Haustüre und das Auto stand davor, da konnte man auch das singnal abfangen und das Auto öffnen und starten, deshalb liegen meine Autoschlüssel wirklich seid Jahren im Esszimmer:-) muss ich mal ändern:-)
Kein Kopf machen

Ich habe die Sendung gestern auch gesehen! Meiner Meinung nach ist das keine Panikmache, sondern ein Weckruf, speziell auch an die Hersteller! 2018 wurde mir ein Auto mit Keyless-Go Funktion gestohlen! Es werden die Vorzüge der Funktion angepriesen, aber nicht die Risiken. Man bekommt eine billige Schlüsseltasche dazu, aber keinen Schlüsselsafe! Bei der Fahrzeugübergabe bekommt man 2-Schlüsselkarten und es wird die Tesla-App mit eingerichtet, aber nicht gesagt, dass man unbedingt den PIN zum Fahren einzurichten! Ich bin der Auffassung, dass hier Tesla einen unbedingten Handlungsbedarf hat, um einen höheren Sicherheitsstandard zu gewährleisten!

Laut dem Bericht nur 20.000 Tesla Datensätze…sie konnten mit jedem besuchten Tesla wegfahren.
Das hat bei keinem anderen funktioniert, öffnen zum Teil ja, blöd genug, aber Auto weg :: nur Tesla

Ich kenne keinen der nen Pin privat eingerichtet hat…mm

Solange hier niemand zusammenfasst, wie der Hack funktioniert (wurde das in dem WISO-Bericht überhaupt erläutert?), kann auch nicht über den Handlungsbedarf diskutiert werden.

Hab vorhin einen guten Freund angerufen der Chef der Risikobewertung eines der größten Versicherer ist. Er meinte das Tesla eher ganz unten in der Tabelle sei was Diebstahl angeht und da völlig unauffällig sei. Also ist das mal wieder typisch Tesla Bashing.

Also ist man mit Pin auf der sicheren Seite? (nur um privaten Diskussionen vorzubeugen :-)), habe Pin schon immer eingerichtet

Selbst ein SeC kann mit deinem Auto nichts machen wenn die PIN drin ist. (Mein Wissensstand, da mein SeC mich jedes Mal daran erinnert)

Also ja, mit PIN hätte das in dem Beitrag nicht machen können. Zeigt man halt nicht weil Positives verkauft sich schlechter ^.~

Das SeC hat mich Sicherheit eine Möglichkeit einen Reset zu machen wenn PIN aktiviert ist.