Achtung, Chargepoint Data Breach, Accountdaten gestohlen

    Hallo Freunde der Ladesäulen,


    wichtige Warnung, bei Chargepoint gab es erneut einen Data Breach.


    Heute Mittag bekam ich auf meinem Handy eine Meldung, dass sich eine neue Android App in meinem Chargepoint Account angemeldet habe. Ich dachte mir zuerst, häh, was treibt da mein Handy wieder.

    Etwa eine halbe Stunde später bekam ich die Meldung, dass Chargepoint über meine Kreditkarte das Konto mit 50€ aufgeladen hat. Das macht er ja normalerweise nur wenn man ladet. Also öffne ich die Chargepoint App und sehe, dass ein Ladevorgang gestartet wurde. Aus London?

    Sofort den Ladevorgang beendet, was gut 5 Minuten dauerte und mein Chargepoint Passwort geändert, was auch nicht ganz so fix ging.

    So war ich am Ende gut 25€ ärmer und jemand in London hat auf meine Kosten geladen.


    Ich habe dann auch beim Chargepoint Support angerufen. Support war in Deutsch, wenn auch kein fließendes Deutsch, aber ein gut bemühtes Deutsch von einer Frau mit leicht niederländischem Akzent.

    Sie teilte mir mit, dass es ein Data Breach gab und sie empfiehlt mir umgehend das Passwort zu ändern, was ich aber ja schon getan habe. Sogleich hat sie mir auch den belasteten Betrag zurückerstattet, ohne wenn und aber.

    Das ist soweit absolut okay.


    Ein Data Breach ist natürlich schlecht, weniger gut finde ich dabei, dass Chargepoint die Kunden nicht ausreichend informiert. Da hätte man doch zumindest eine Mail rumschicken können mit dem Hinweis umgehend das Kennwort zu ändern.


    Diebstahl von Ladekarten, Zugangsdaten zu Ladeapps, dürfte wohl das neue Ziel vieler Hacker sein. Und viele Anbieter haben hier absolut unzureichenden Schutz. Chargepoint und auch andere, haben nur Mailadresse und Passwort zum Authentifizieren und kein MFA oder Passkey.

    Auf seine Ladekarten sollte man sehr gut aufpassen, denn ein Ladevorgang kann ohne zusätzliche Beglaubigung mit einer Ladekarte gestartet werden.


    Es mangelt hier meiner Ansicht nach noch sehr an Schutzmaßnahmen im gesamten Ladeumfeld. Leider gibt es noch keine gesetzliche Pflicht, dass Fahrzeuge eine eindeutige Fahrzeug-ID beim Laden übermittelt wird, mit dem man im Betrugsfall den Halter des Fahrzeugs ausfindig machen könnte und ihn vielleicht global an allen Ladesäule zu sperren. Wir auch im Ladetarifjungel ist auch hier einiges nicht zu Ende gedacht.


    Also Leute, wer einen Chargepoint Account hat, sollte am besten vorsichtshalber sein Kennwort ändern.

    Zitat von MarkusD.

    weniger gut finde ich dabei, dass Chargepoint die Kunden nicht ausreichend informiert.

    Das wäre dann ein DSGVO-Verstoß, der für Chargepoint teuer werden kann, wenn jemand klagt.

    EV6 MY22 GT-Line RWD Snow White, 19", Assist+, keine WP

    Nissan Pulsar 1.5 dCi Acenta mit Technologie-Paket, Perl-Weiß

    --> Ladetarife grafisch dargestellt <-- | Ergänzungen/Korrekturen gerne per PM

    Gut, daß ich den Schmutz vor einem halben Jahr wieder gekündigt habe. ^^

    Allgemein aber sicher ein Thema über das man sich Gedanken machen sollte... :/

    Zitat von MarkusD.

    Chargepoint und auch andere, haben nur Mailadresse und Passwort zum Authentifizieren und kein MFA oder Passkey

    Huhu, Kia, wär doch auch mal ne Idee eine sichere Authentifizierung mit MFA und API-Keys zu nutzen! Schon wild, was 2025 noch so zusammenprogrammiert wird.

    EV6 | RWD | 77.4 kWh | MJ24 | GT-line, P5 Assist+, P6 Sound | Runway Red

    Gefällt mir 1