w.Intercom = i;Durch Einladung "TadoZuhause" verloren - Hijacking für Laien möglich? — tado° Community

Durch Einladung "TadoZuhause" verloren - Hijacking für Laien möglich?

Wir haben zwei separate Tado-Standorte mit jeweils einem Abo. Gestern habe ich eine Mitarbeiterin, die mit ihrer E-Mail bereits als Person beim ersten Standort registriert ist, mit derselben E-Mail-Adresse beim zweiten Standort eingeladen. Sie hat die Einladung akzeptiert und sich mit ihrem normalen Passwort für die Annahme der Einladung eingeloggt.

Das Problem: Dadurch wurden alle Personen samt E-Mailadressen und Namen des ersten Standorts dem zweiten Standort zugewiesen. Auf den ersten Standort kann ich nun nicht mehr zugreifen, da es dort keine verknüpften Personen mehr gibt.

Ich kann mit der Administrator-E-Mail das Zuhause aber auch nicht mehr neu einrichten, da das alte Zuhause wegen des Abos noch mit meiner E-Mail verknüpft ist, aber inzwischen ganz ohne Personen existiert. Unsere eine Heizanlage ist seitdem kalt, weil sie auf Geofencing eingestellt ist.

Vom Prinzip könnte man auf diese Weise durch eine simple Einladung jedes Tado-Zuhause (jenes von dem man eingeladen wurde) lahmlegen und die Personen entführen. Ein kleines Detail habe ich weggelassen, damit es nicht jeder sofort nachahmen kann, der eine Tado-Einladung erhalten hat.

Meine Frage ist nun: Wie bekomme ich wieder Zugriff auf meinen Account, für den ich auch das jährliche Abo zahle. Wenn ich mich jetzt als Admin in mein Konto einloggen, fragt mich Tado nach einer Einladung - absurd!

Aus Sicht der DSGVO ist das auch eine Katastrophe, da der Eingeladene alle Personen samt E-Mailadresse und Namen von dem anderen Account automatisch auf seinen vorab verknüpftes Zuhause zugewiesen bekommt. Bei einem Firmenaccount oder Mietshaus bestimmt nicht lustig.


Kommentare

  • Da musst du dich an den Support wenden, die können das wieder herstellen.

  • Ich habe mich bereits an den Tado-Support gewendet, aber keine Antwort erhalten. Unsere Heizungen sind immer noch kalt.

    Beim Auffinden einer solchen Sicherheitslücke in ihrer Software hätte ich erwartet, dass sie sich blitzschnell kümmern. Es besteht ja das große Risiko, dass jemand wie ich sein Wissen um diese Schwachstelle mit der internationalen Reddit-Community teilen und somit bekannt machen könnte. (Nur mal so weiter gedacht.)

    Wie ist die Erfahrung mit dem deutschen Tado-Support? Kümmern die sich wirklich um solche Probleme oder schicken die nur vorgefertigte Textblöcke?

  • Es kommt leider immer drauf an, bei wen man im Support landet.

    Es gibt mal schnelle und gute Hilfe, mal nur Standardantworten.

    Versuch es mal über diese email Adresse, der hat mir immer schnell und gut geholfen:

    alexander.bauer@tado-844a35e31252.intercom-mail.com