Mastodawn

wingfire Aug 8, 2023

Brandmeister*in, wir wissen wo dein Auto steht!
Kennt ihr Rosenbauer? Das ist einer der weltweit größten Hersteller von Feuerwehrfahrzeugen 🚒
Und damit man den Überblick nicht verliert, bieten sie Software an, mit der Feuerwehren ihre Fahrzeuge rund um die Uhr GPS-tracken können.

zerforschung Aug 8, 2023

Leider hat Rosenbauer in ihrer Software nicht genau geprüft, wer alles auf diese Daten zugreifen kann. So hatten wir plötzlich die Position von mehr als 4300 Fahrzeugen von 356 Brandbekämpfungsorganisationen von Los Angeles bis Tokyo 🌏
Wie es dazu kam und wie Rosenbauer darauf (nicht) reagiert hat, lest ihr hier: https://zerforschung.org/posts/rosenbauer/

Tatü-Tata, ein Databreach ist da

Immer wissen wo es brennt? Da gibts doch was von Ratiopharm? Früher musste man dazu schon den Behördenfunk abhören oder einen guten Kontakt in der Leitstelle haben. Aber was, wenn dir jedes Feuerwehrauto einfach jederzeit seinen Standort verrät? Müssen wir nicht lange drumrumreden: Ist uns passiert. Die ganze Geschichte hier:

Susa Aug 8, 2023

@zerforschung
Was für meine Bubble :-) #Feuerwehr
@adlerweb

Christoph Petrausch Aug 8, 2023

@zerforschung vor dem Hintergrund interessant: Rosenbauer hatte vor kurzem noch Kontakt mit professionellen Datenverschlüsselern aus dem Osteuropäischen Ausland... Hat einige Wochen die Produktion still gelegt an einigen Standorten. Man könnte denken, das Unternehmen wäre nun sensibel...

Habt ihr zufällig diesen Zeitraum getroffen?

Thomas. 🐧🇩🇪| wörk ™️Aug 8, 2023

@zerforschung Achja, beim "Rosi" Werk in #karlsruhe war ich doch erst neulich, ein paar #Feuerwehr Autos zur Inspektion spotten…

boeseraltermann Aug 8, 2023

@zerforschung auch auf die Repressionsmaschinen, besser bekannt als Wasserwerfer? Den WaWe10000 im Stillstand zu sehen wäre doch mal ganz nett.

Wallace80 Aug 8, 2023

@zerforschung Danke!

Martin Rust Aug 9, 2023

@zerforschung Ich liebe diese Geschichte – als Entwickler, der vor Jahren die Weiterentwicklung einer Website mit gleichartigen Schwachstellen übernommen hat und diese behoben hat. Auch im Bereich kritische Infrastruktur, aber nicht "Brandbekämpfungsorganisationen" (fabelhaftes Wort).
Leute, wenn ihr für eine wichtige Website verantwortlich seid, dann beauftragt regelmäßig einen #Pentest.

Mira Aug 9, 2023

@zerforschung Zack, sofort Ohrwurm
https://www.youtube.com/watch?v=h7iICxVeOig

Data Breach

YouTube

Hendi Aug 8, 2023

@zerforschung sind die Wasserwerfer auch dabei?

ShinGiTai Aug 8, 2023

@zerforschung krass, von einem Weltmarktführer hätte ich eine etwas andere Reaktion erwartet. Bzw. dass das Tracking überhaupt in diesem Maße aus dem Netz erreichbar ist.🤨😮‍💨😭

Stahlmann Aug 8, 2023

@zerforschung das Rosenbauer mit DJI zusammenarbeitet ist kein Geheimnis. Das die die Systeme aber so integriert haben ist auch mir neu.

#Feuerwehr #Rosenbauer

9Lukas5 🚂 🐧Aug 8, 2023

@zerforschung Ach kommt, Feuerwehr ist doch öffentliche Hand, ergo sollte das doch eh Public Data sein und ist bewusst zugänglich 💁🏼🤪

*_jߍyrope Aug 8, 2023

@zerforschung Habt Ihr toll gemacht! Klingt irgendwie auch nach der Geschichte mit den Traktoren von John Deere. Fehlt nur noch, daß Rosenbauer den Kunden die Aktivierung ihrer Feuerwehren im jährlichen Abo verkauft. Da kommen die auch noch drauf.

zerforschung (@[email protected])

210 Posts, 1 Following, 15.4K Followers · reverse engineering in progress.

chaos.social

Izzy Aug 8, 2023

@zerforschung Nochmal langsam: So'ne internationale Bude, die im Sicherheitsbereich unterwegs ist, hat keine security.txt? 🤯 Wow. Die habe sogar ich auf meinem Server (weiß ich, weil gerade kürzlich der jährliche Reminder zur Aktualisierung ("Expires:") bei mir los ging)…

Und ja, tolle Technik. Will ja jetzt nicht unken, aber wahrscheinlich aus Frameworks zusammen geklickt, und nicht alle "Hintergrund-Prozesse" im Blick gehabt (oder verstanden)…

Uff.

leckse Aug 8, 2023

@zerforschung firefightradar24.com wäre noch zu haben.

Kampfteppich Aug 10, 2023

@zerforschung
Geiles Video, scharfe Nachricht!✌️