Digital Life 07.02.2018

Cyberkriminelle könnten Spritpreise auf Tankstellen manipulieren

© Bild: APA/HANS KLAUS TECHT

Ein Treibstoff-Management-System von Tankstellen weist mehrere, gravierende Sicherheitslücken auf. Kriminelle könnten diese missbräuchlich ausnutzen, warnt Kaspersky.

Das System von Orpak Systems, das den Treibstoff in mehreren Ländern managt, hat mehrere Sicherheitslücken, wie Forscher von Kaspersky warnen. Das System kommt unter anderem bei Tankstellen in Israel zum Einsatz – eigentlich, um den Missbrauch von Treibstoff vorzubeugen. Doch das System ist auch in den USA, der Türkei, Indien, Tschechien oder Spanien im Einsatz, wie heise.de berichtet.

Tankstellen betroffen
© Bild: Kaspersky

Hartcodierte Zugangsdaten

Laut Kaspersky kann man sich in das Management-System, mit dem man Füllstände von Sprittanks überwachen oder Bezahlvorgänge auf Tankstellen abwickeln kann aus der Ferne einloggen. Die Sicherheitsforscher haben bei dem System eine Wartungs-Hintertür gefunden, bei der es sich um hartcodierte Zugangsdaten handelt. Ergo: Das Standard-Passwort im Web-Interface kann vom Kunden selbst zwar verändert werden, aber nicht die Zugangsdaten zum System selbst. Darüber könnten Cyberkriminelle praktisch auf alle Orpak-Systeme zugreifen, selbst dann, wenn ein Betreiber das Standard-Passwort geändert hat.  

Angreifer könnten in derartige Systeme einsteigen, Füllstände und Preise manipulieren und sogar Kreditkarten-Transaktionen hijacken und Bezahldaten mitschneiden, heißt es auf heise.de. Die Änderung von Spritpreisen soll auch ohne Admin-Rechte möglich sein, wie aus dem Bericht von Kaspersky hervorgeht.

Statt Missbrauch zu verhindern könnten Angreifer über diese Lücke nicht nur aus der Ferne Schadcode ausführen, sondern auch Informationen im System manipulieren wie Infos zu Nummernschildern und Fahrern sowie Log-Dateien. Der Betreiber von Orpak Systems soll laut dem Medienbericht im September 2017 benachrichtigt worden sein, das Problem soll bis heute jedoch nicht behoben worden sein.

( futurezone ) Erstellt am 07.02.2018