Wir bekamen gerade per Mail den Hinweis darauf, dass Coronapoint bereits im April eine ganz ähnliche Lücke gemeldet bekam und auch damals die Betroffenen nicht informiert hat: pierlings.de/coronapoint-discl

Show thread

Vielen Dank auch noch mal an @em0lar für den Hinweis und das Vertrauen. 🤝

Show thread

Wir wollen Karl Lauterbach hier keine Vorwürfe machen. In der aktuellen Situation ist es verständlich, dass Gesundheitspolitiker:innen sich für Testzentren einsetzen. Umso fataler ist es, dass sich niemand darum kümmert, dass personenbezogene Gesundheitsdaten sicher sind.

Show thread

Was haben Karl Lauterbach, Rainer Wendt und Frank Henkel gemeinsam? Sie alle haben sich als Werbefigur für den Testzentren-Betreiber Coronapoint einspannen lassen.
Wir präsentieren euch eine Achterbahnfahrt der Sicherheitslücken bei diesem Anbieter: zerforschung.org/posts/coronap

Damit können wir jetzt die PDF-Nummern durchprobieren.
Das klingt zwar viel, aber so kompliziert müssen wir es gar nicht machen – wir haben noch eine einfachere Möglichkeit gefunden, an die Codes heranzukommen.

Die bisherige Lücke beim Testzentrum-Anbieter Medican und was dann noch geschah, haben wir in unserem Blogpost aufgeschrieben:

zerforschung.org/posts/medican

Show thread

Darin stehen eine Menge Daten:

* Vorname
* Nachname
* Geburtsdatum
* E-Mail-Adresse und
* Registrierungsdatum

Show thread

Eine weitere Funktion der Profilseite ist es, ein PDF mit den eigenen Daten und dem QR-Code zu erzeugen. Und als wir auf diesen Button klicken, landen wir wieder auf einer URL, die nur diesen siebenstelligen Code enthält.

Aber: Auch als wir diese URL auf einem anderen Gerät öffneten, bekamen wir auch dieses PDF – ohne die Ausweisnummer eingeben zu müssen 🤬
Der 7-stellige Code reicht also aus, um auf die richtige URL schließen zu können und dort das PDF zu bekommen.

Show thread

Geben wir diese ein, bekommen wir unsere Daten, ggf. bisherige Testergebnisse sowie einen QR-Code für den Check-In im Testzentrum angezeigt.

Unter dieser URL können wir unser Profil immer wieder aufrufen, doch sie enthält nur einen siebenstellige Code.
Aber das ist nicht schlimm, denn wir müssen ja immer unsere Ausweisnummer angeben, oder? ODER???

Show thread

Na dann machen wir das doch einfach mal. Unsere Daten waren ja eh schon bei genug Testzentren abrufbar.
Danach werden wir diverse Male weitergeleitet und werden _noch einmal_ nach unserer Ausweisnummer gefragt. 🤨

Show thread

Also machen wir den Selbstversuch: Um uns bei medican anzumelden, müssen wir unsere persönlichen Daten inkl. Ausweisnummer angeben, die DSGVO(!) lesen und bestätigen und versprechen, uns an die Quarantäneverordnung NRW zu halten. Und das obwohl wir gar nicht in NRW sind.

Show thread

Medican hat mehr als 50 Teststationen in ganz Deutschland betrieben – bis NDR, WDR und Süddeutsche Zeitung dann mal mit versteckter Kamera nachgezählt haben, wie viele Besucher*innen sie haben. 🧮

Dabei stellten sie fest: Tatsächlich wurden teilweise mehr als 10 Mal so viele Tests abgerechnet als Menschen dort waren. Inzwischen sitzen die Geschäftsführer von Medican in U-Haft.

tagesschau.de/investigativ/wdr

Show thread

Spielt denselben Thread nochmal! Okay, denselben Thread nochmal!

Es ist mal wieder Zeit für Testzentren, aber nicht nur irgendwelche…

Hier ist der sehr schöne Artikel des Tagesspiegels über die Testzentrumslücke, in dem auch die Betreiber und die Berliner Datenschutzbeauftragte zu Wort kommen
tagesspiegel.de/berlin/knapp-2

Show thread

Es tut uns leid, aber uns ist schon wieder ein Testzentrum im Browser zerbröselt. Diesmal sind mehr als 80.000 Tests in BaWü und Berlin betroffen. Die Lücken werden euch schockieren. 🤯 Bei der Zweiten mussten wir weinen: zerforschung.org/posts/testzen

Auch bei Supermarkt-Lieferdiensten fanden wir mehr als einmal eine Sicherheitslücke. Bei "Gorillas" waren über eine Million Bestellungen von über 200.000 Kund\*innen betroffen. Zudem hatten wir Zugriff auf Fotos von Haustüren und Klingelschildern 😬 zerforschung.org/posts/gorilla

Show thread

Wir wissen ja auch nicht so richtig was wir hier eigentlich tun. Für den mdr hat @marcelberlin uns trotzdem mal gefragt. mdr.de/mdr-aktuell-nachrichten

Da Fragen zu den Akkus kamen: Wir haben uns natürlich vorher angeschaut, was wir in einem Brief versenden dürfen. Zu gefährlichen Stoffen und Gegenständen, die vom Versand ausgeschlossen sind, zählen z.B. Lithium-Akkus und Durians. Deswegen benutzten wir AA-Alkaline Batterien.

Show thread

Noch ein paar Fakten zur Nachtluftpost und Bilder vom Beladen der Maschinen haben wir hier gefunden: flugblatt-magazin.de/stories/n

Der Wikipedia-Artikel wirkt leider eher veraltet: de.wikipedia.org/wiki/Nachtluf

Show thread
Show older
chaos.social

chaos.social – a Fediverse instance for & by the Chaos community