zerforschung @zerforschung@chaos.social
Wir bekamen gerade per Mail den Hinweis darauf, dass Coronapoint bereits im April eine ganz ähnliche Lücke gemeldet bekam und auch damals die Betroffenen nicht informiert hat: https://pierlings.de/coronapoint-disclosure
bei der @sz berichtete @bbbrille über den Fall: https://www.sueddeutsche.de/politik/datenschutz-testzentren-1.5330068
und für @tagesschau@gnusocial.de haben sich @arndhenze und @christianbasl dem Thema auf der Metaebene genähert: Was passiert mit den Daten nach der Pandemie? https://www.tagesschau.de/investigativ/wdr/sicherheitsluecken-testzentren-101.html
Vielen Dank auch noch mal an @em0lar für den Hinweis und das Vertrauen. 🤝
Wir wollen Karl Lauterbach hier keine Vorwürfe machen. In der aktuellen Situation ist es verständlich, dass Gesundheitspolitiker:innen sich für Testzentren einsetzen. Umso fataler ist es, dass sich niemand darum kümmert, dass personenbezogene Gesundheitsdaten sicher sind.
Was haben Karl Lauterbach, Rainer Wendt und Frank Henkel gemeinsam? Sie alle haben sich als Werbefigur für den Testzentren-Betreiber Coronapoint einspannen lassen.
Wir präsentieren euch eine Achterbahnfahrt der Sicherheitslücken bei diesem Anbieter: https://zerforschung.org/posts/coronapoint
Damit können wir jetzt die PDF-Nummern durchprobieren.
Das klingt zwar viel, aber so kompliziert müssen wir es gar nicht machen – wir haben noch eine einfachere Möglichkeit gefunden, an die Codes heranzukommen.
Die bisherige Lücke beim Testzentrum-Anbieter Medican und was dann noch geschah, haben wir in unserem Blogpost aufgeschrieben:
Darin stehen eine Menge Daten:
* Vorname
* Nachname
* Geburtsdatum
* E-Mail-Adresse und
* Registrierungsdatum
Eine weitere Funktion der Profilseite ist es, ein PDF mit den eigenen Daten und dem QR-Code zu erzeugen. Und als wir auf diesen Button klicken, landen wir wieder auf einer URL, die nur diesen siebenstelligen Code enthält.
Aber: Auch als wir diese URL auf einem anderen Gerät öffneten, bekamen wir auch dieses PDF – ohne die Ausweisnummer eingeben zu müssen 🤬
Der 7-stellige Code reicht also aus, um auf die richtige URL schließen zu können und dort das PDF zu bekommen.
Geben wir diese ein, bekommen wir unsere Daten, ggf. bisherige Testergebnisse sowie einen QR-Code für den Check-In im Testzentrum angezeigt.
Unter dieser URL können wir unser Profil immer wieder aufrufen, doch sie enthält nur einen siebenstellige Code.
Aber das ist nicht schlimm, denn wir müssen ja immer unsere Ausweisnummer angeben, oder? ODER???
Na dann machen wir das doch einfach mal. Unsere Daten waren ja eh schon bei genug Testzentren abrufbar.
Danach werden wir diverse Male weitergeleitet und werden _noch einmal_ nach unserer Ausweisnummer gefragt. 🤨
Also machen wir den Selbstversuch: Um uns bei medican anzumelden, müssen wir unsere persönlichen Daten inkl. Ausweisnummer angeben, die DSGVO(!) lesen und bestätigen und versprechen, uns an die Quarantäneverordnung NRW zu halten. Und das obwohl wir gar nicht in NRW sind.
Medican hat mehr als 50 Teststationen in ganz Deutschland betrieben – bis NDR, WDR und Süddeutsche Zeitung dann mal mit versteckter Kamera nachgezählt haben, wie viele Besucher*innen sie haben. 🧮
Dabei stellten sie fest: Tatsächlich wurden teilweise mehr als 10 Mal so viele Tests abgerechnet als Menschen dort waren. Inzwischen sitzen die Geschäftsführer von Medican in U-Haft.
https://www.tagesschau.de/investigativ/wdr/corona-schnelltest-zentren-101.html
Spielt denselben Thread nochmal! Okay, denselben Thread nochmal!
Es ist mal wieder Zeit für Testzentren, aber nicht nur irgendwelche…
Hier ist der sehr schöne Artikel des Tagesspiegels über die Testzentrumslücke, in dem auch die Betreiber und die Berliner Datenschutzbeauftragte zu Wort kommen
https://www.tagesspiegel.de/berlin/knapp-20-000-personen-betroffen-erneut-sicherheitsluecken-bei-berliner-testanbietern-aufgedeckt/27251112.html
Es tut uns leid, aber uns ist schon wieder ein Testzentrum im Browser zerbröselt. Diesmal sind mehr als 80.000 Tests in BaWü und Berlin betroffen. Die Lücken werden euch schockieren. 🤯 Bei der Zweiten mussten wir weinen: https://zerforschung.org/posts/testzentrum-die-dritte/
Auch bei Supermarkt-Lieferdiensten fanden wir mehr als einmal eine Sicherheitslücke. Bei "Gorillas" waren über eine Million Bestellungen von über 200.000 Kund\*innen betroffen. Zudem hatten wir Zugriff auf Fotos von Haustüren und Klingelschildern 😬 https://zerforschung.org/posts/gorillas/ #AusDemArchiv
Wir wissen ja auch nicht so richtig was wir hier eigentlich tun. Für den mdr hat @marcelberlin uns trotzdem mal gefragt. https://www.mdr.de/mdr-aktuell-nachrichtenradio/audio/audio-1745472.html
Dieser Thread ist nun auch als Blogpost verfügbar: https://zerforschung.org/posts/kurzstrecken-luftpost/
Da Fragen zu den Akkus kamen: Wir haben uns natürlich vorher angeschaut, was wir in einem Brief versenden dürfen. Zu gefährlichen Stoffen und Gegenständen, die vom Versand ausgeschlossen sind, zählen z.B. Lithium-Akkus und Durians. Deswegen benutzten wir AA-Alkaline Batterien.
Noch ein paar Fakten zur Nachtluftpost und Bilder vom Beladen der Maschinen haben wir hier gefunden: https://www.flugblatt-magazin.de/stories/nachtluftpost-am-airport-geht-die-post-ab/
Der Wikipedia-Artikel wirkt leider eher veraltet: https://de.wikipedia.org/wiki/Nachtluftpost
