Ein indischer IT-Sicherheitsexperte hat eine Sicherheitslücke in der „My Volkswagen“-App entdeckt, über die Hacker sich allein durch Angabe der Fahrzeug-Identifikationsnummer (VIN) Zugriff auf Kunden- und Fahrzeugdaten verschaffen konnten. VW hat die Sicherheitslücke inzwischen geschlossen – zudem war lediglich die indische Version der App betroffen.
Vishal Bhaskar war auf das Problem nicht in seiner Rolle als IT-Sicherheitsexperte, sondern als VW-Kunde aufmerksam geworden – zumindest anfänglich: In einem Blogbeitrag erklärt Bhaskar, dass er nach dem Kauf eines Gebrauchtwagens mit der Smartphone-App „My Volkswagen“ auf sein Auto zugreifen wollte. Dafür ist die Eingabe eines One-Time-Passworts (OTP) erforderlich, welches nach dem Abruf aber offenbar im E-Mail-Postfach des Vorbesitzers landete.
Fehlende Zugriffskontrollen machten den IT-Experten stutzig
Da Bhaskar den Vorbesitzer nicht kurzfristig telefonisch erreichen konnte, warf der Sicherheitsexperte einen genaueren Blick auf die App: Auch nach mehreren Falscheingaben wurde der Zugriff nicht gesperrt. Bhaskar analysierte daraufhin die API-Requests der VW-App und programmierte ein Skript, um mittels Brute Forcing automatisiert alle möglichen Ziffernkombinationen für das vierstellige Passwort durchzuprobieren. Innerhalb weniger Sekunden fand das Skript den korrekten OTP-Code und Bhaskar hatte Zugriff auf seine Fahrzeugdaten.
Das Brisante daran: Bhaskar benötigte dafür lediglich die Fahrzeug-Identifikationsnummer, die sich bei Autos einfach von außen durch die Windschutzscheibe ablesen lässt.
Der Experte forschte weiter und fand seinem Blogbeitrag zufolge einen weiteren API-Endpunkt, der die Passwörter, Benutzernamen und Token für bestimmte VW-Dienste im Klartext ausgab. Über einen weiteren API-Endpunkt konnte Bhaskar alle Service- und Wartungspakete einsehen, die für das zugehörige Fahrzeug gebucht wurden. In den unverschlüsselten Daten fanden sich auch Vertrags- und Zahlungsinformationen und persönliche Daten wie Namen, Rufnummern, Adressen und E-Mail-Adressen.
Sicherheitslücke in der Volkswagen-App: Bildungsgrad und Notfallkontakte waren einsehbar
Weitere API-Endpunkte zeigten dem IT-Experten die Werkstatthistorie und Fahrzeugtelematikdaten, mit denen man Bhaskar zufolge den Standort eines Autos aus der Ferne einsehen kann. In einigen Fällen will der Experte sogar Informationen zum Bildungsabschluss, Führerschein und den Notfallkontakten des Fahrzeughalters gefunden haben. Die Daten demonstrierten Bhaskar zufolge das „gravierende Ausmaß“ des Datenlecks.
Der VW-Fahrer wandte sich mit seinen Erkenntnissen laut eigener Aussage schon im November 2024 an den Hersteller. Zunächst hatte er Schwierigkeiten, den passenden Ansprechpartner zu finden, das Volkswagen-Team habe aber schnell reagiert und vier Tage nach seiner ersten E-Mail eine Empfangsbestätigung verschickt.
In den folgenden drei Monaten blieb Bhaskar mit Volkswagen-Mitarbeitern via E-Mail in Kontakt, der IT-Experte bezeichnet das Team als „sehr reaktionsschnell“. Am 6. Mai 2025 habe er dann schlussendlich die Bestätigung erhalten, dass die gefundenen Sicherheitslücken geschlossen wurden. Ein „Kopfgeld“, das IT-Sicherheitsforscher häufig von Unternehmen erhalten, wenn sie Schwachstellen aufdecken und melden, gab es für Bhaskar allerdings nicht.
Quelle: Loopsec/Medium – Hacking My Car, and probably yours — Security Flaws in Volkswagen’s App
