Tut mir leid ich weiß nich ob das hier die richtige Stell überhaupt ist aber die Vodafone Hotline meinte hier könnte ich vielleicht fragen.
Vor ein paar Tagen habe ich eine seltsame e-mail bekommen. Die habe ich erst dirkt in spam geschoben hat mich aber nicht los gelassen. Jemand meint er kann meine kamera aus dem internet sehen. Die E-Mail liest sich aber nicht wie diese gibt mir geld sonst schicke ich dan "ihr wisst schon" video an deine kontakte. Es ist anders. Ist das eine echte e-mail oder nicht? kann das jemand sagen? Wenn das hier falsch ist bitte einfach löschn. Ich bin verunsichert und weiß nicht sicher. das ist spam oder die absendeadresse sie so aus kernel-error@kernel-error.com und wenn ich auf die seite gehe kommt nichts? nicht lachen! DANKE
Sehr geehrte Damen und Herrenxxxxxxxxxxxxxxxxxxxxx,
sehr geehrtes Team xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx,
als Security Researcher möchte ich Sie höflich darauf aufmerksam
machen, dass aktuell ein Video-Stream Ihrer Fahrzeughalle öffentlich
über das Internet erreichbar ist – ohne Authentifizierung oder
Zugriffsbeschränkung. Die Kamera zeigt die innere Busabstellhalle sowie
Teile der dortigen Betriebsabläufe.
Der betroffene Stream ist unter folgender Adresse abrufbar:
rtsp://zahlen und punkte/11
Beispielaufruf:
ffplay -rtsp_transport tcp -fflags nobuffer -flags low_delay
rtsp://zahlen und punkte/11
Da hierbei eindeutig personenbeziehbare Daten (Gesichter, Verhalten,
Bewegungen, Aufenthaltszeiten) sowie interne betriebliche Abläufe
erkennbar werden, besteht ein erhebliches Datenschutz- und
IT-Sicherheitsrisiko. Zusätzlich kann die ungeschützte Einsicht in
Betriebsbereiche ein sicherheitsrelevantes Risiko darstellen, z. B.
weil Dritte potenziell Arbeitsabläufe, Fahrzeugbewegungen oder
Zutrittssituationen erkennen können.
Ich empfehle dringend, die Konfiguration zu überprüfen und – sofern
keine bewusste Veröffentlichung beabsichtigt ist – den Zugriff umgehend
technisch abzusichern oder zu deaktivieren. In der Praxis sind folgende
Maßnahmen besonders wirksam:
Deaktivierung direkter Portweiterleitungen oder automatischer
UPnP-Freigaben am Router bzw. an der Firewall,
Aktivierung einer Authentifizierung (z. B. HTTPS-Login, VPN oder
Reverse Proxy mit Zugriffskontrolle),
Änderung eventuell noch vorhandener Standard- oder
Herstellerpasswörter,
Aktualisierung der Kamera- oder Recorder-Firmware, um bekannte
Schwachstellen (CVEs) zu schließen,
Überprüfung der Kamerapositionen und Aufnahmewinkel im Hinblick auf
eine datenschutzkonforme Videoüberwachung gemäß DSGVO und BDSG.
Bitte informieren Sie über diesen Hinweis auch Ihren
Datenschutzbeauftragten sowie Ihre IT-Verantwortlichen, damit eine
fachgerechte Bewertung und Umsetzung erfolgen kann. Die zuständigen
Datenschutzaufsichtsbehörden in Deutschland finden Sie unter:
https://www.datenschutzkonferenz-online.de/
Zur besseren Koordination künftiger Sicherheitsmeldungen empfehle ich
außerdem, auf Ihrer Website eine Datei
/.well-known/security.txt gemäß RFC 9116 bereitzustellen:
https://de.wikipedia.org/wiki/Security.txt
Dadurch können Sicherheitsfunde künftig standardisiert und vertraulich
gemeldet werden.
Transparenz:
Ich habe keine aktiven Tests, Logins oder sonstige Zugriffsversuche
durchgeführt. Der genannte Stream war frei im Internet auffindbar. Mein
Anliegen ist es, Sie frühzeitig und verantwortungsbewusst auf das
mögliche Risiko hinzuweisen.
Ich würde mich über eine kurze Rückmeldung freuen, wenn diese E-Mail
ihr Ziel erreicht hat. Sicherlich fragen Sie sich, ob dies eine echte
E-Mail ist oder ein Spam- bzw. Scam-Versuch. Bitte machen Sie sich
dazu kurz ein eigenes Bild. Suchen Sie nach mir per Suchmaschine wie
beispielsweise Google oder fragen Sie eine KI wie z. B. ChatGPT nach
mir. Dort können Sie diese E-Mail auch vollständig hinein kopieren.
Mit freundlichen Grüßen
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
