Zum hauptinhalt springen

zerforschung

Wir wissen noch immer, wie du getestet wurdest. Der Tragödie nächster Teil

Modifizierter Screenshot der Testbuchungsseite, mit dem Text: 'Datenleck buchen - Wie viele Daten sollen enthalten sein?'

Was haben Berlin, Ravensburg und München gemeinsam? Sie haben Testzentren, die mit der gleichen Software arbeiten. Und wenn wir über Testzentren schreiben, ist es leider wenig überraschend, dass es mal wieder um ein Datenleck geht. Betroffen sind diesmal mehr als 80.000 Testergebnisse bei vier verschiedenen Testzentrums-Firmen.

Die Brieftaube ist eine Nachteule

Dieser Artikel ist ein Archiv dieses Twitter-Threads.

Was viele zum Thema Kurzstrecken-Flüge nicht im Blick haben: Innerhalb Deutschlands werden über Nacht immer noch viele Briefe mit dem Flugzeug transportiert. 🧵


Wir verschicken ja manchmal Post zwischen unseren “Standorten” und haben uns jetzt mal den Spaß gemacht, den Weg eines Briefs von Ulm nach Berlin zu verfolgen – über die Nachtluftpost-Strecke STR–BER:

Gorillas: Special offer - unicorn slices, 150g 🦍❤️

Gorillas Advertising with the slogan 'Just going check gorillas one more time, then I will put the phone away... oh nice, cinnamon buns' but 'cinnamon buns' is replaced with 'data'

We felt more like “Oh fuck, Databreach”

During the pandemic, grocery delivery services gained popularity. New players on the market offer delivery in under an hour. One of them is Gorillas, which not only delivers apples and granola bars in 10 minutes, but just as quickly delivered the data of all its customers.

How could this happen? Unfortunately, it was once again much too simple. But let’s start at the beginning:

Gorillas: Einhornaufschnitt, 150g, im Angebot 🦍❤️

Gorillas Werbeplakat mit dem Slogan 'Noch einmal Gorillas checken, dann lege ich das Handy wirkl... geil, Zimtschnecken' Zimtschnecken ist durchgestrichen und durch 'Daten' ersetzt

Naja, eigentlich eher “Oh fuck, Daten”

Supermarkt-Lieferdienste sind in der Pandemie sehr beliebt. Neben den Klassikern sind jetzt Dienste neu im Spiel, die in unter einer Stunde liefern. Einer davon ist Gorillas – hier bekam man nicht nur die bestellten Äpfel und Müsliriegel in 10 Minuten, sondern genauso schnell auch die Daten aller Kund*innen.

Wie das passieren konnte? Leider mal wieder viel zu einfach. Hier die ganze Geschichte von vorne:

Dive – Use with Hackphones

Abgewandelter Dive Slogan 'Use with Hackphones'

Vor einiger Zeit haben wir uns bereits Clubhouse angeschaut.
Nun gibt es einen neuen, bislang sehr exklusiven deutschen Stern am Audio-Chat-Himmel: Dive – dieser Klon von Clubhouse legt laut Gründer*innen besonders großen Wert auf Datenschutz.

Nachdem ein Zerforschungsmitglied eine Einladung für Dive bekommen hat, haben wir routinemäßig mal in den Datenverkehr geschaut und leider schon wieder Schlimmes gefunden. Nur so viel schonmal: Viel besser als Clubhouse ist das nicht.

Die Luca-Lizenz (LL-ND-NC-WTF)

Dieser Artikel ist ein Archiv dieses Twitter-Threads.
Update: Inzwischen hat #LucaApp die Lizenz auf eine GPLv3 geändert und die fehlenden Lizenzhinweise bei manchen der Files ergänzt.

#LucaApp hatte nach viel Kritik und gutem Zureden angekündigt, ihre App zu OpenSourcen. Nun tauchte das erste Repository auf – mit der schlimmsten Lizenz, die wir seit Langem gelesen haben. Nur Betrachtung, keine Veränderung, keine Mirrors, etc. 🧵

https://gitlab.com/lucaapp/android/-/blob/a30432ec4a01c2ca7ea9ceb26c145e7b620435fc/LICENSE

 Eingeschränkte Lizenz zur Betrachtung des Quellcodes der Applikation „luca“ für Android basierte Geräte  (nachfolgend „Quellcode“) Copyright (c) 2019 - 2021 culture4life GmbH, ihre verbundene Unternehmen und Lizenzgeber.   Alle Rechte vorbehalten. Der Quellcode wird ausschließlich zum Zwecke der Betrachtung für persönliche, nicht-kommerzielle Zwecke auf nicht-ausschließlicher, nicht-unterlizenzierbarer  und nicht-übertragbarer Basis bereitgestellt. Eine darüberhinausgehende Einräumung von Rechten erfolgt nicht.

Wir wissen, wie du diesen Winter getestet wurdest. Ein Corona-Drama in sechs Akten

Wie wir nur mal kurz einen Corona-Test machen wollten und versehentlich in ein Nest voller Sicherheitslücken gefallen sind.

Seit dem 8. März gibt es in Berlin »kostenlose Bürger*innen-Tests«. Über das Portal test-to-go.berlin kann man ein Testzentrum finden und einen Termin buchen.

Schon kurz nach Veröffentlichung der Testzentren-Übersicht der Berliner Senatsverwaltung für Gesundheit, Pflege und Gleichstellung waren wir irritiert: Alles an diesem Online-Portal machte auf uns den Eindruck, doch etwas hastig zusammengestrickt worden zu sein – und das nach nur einem Jahr Pandemie.

Da wir ohnehin einen Test machen wollten, konnten wir dieses neue Angebot gleich mal ausprobieren.

Am Testzentrum angekommen wunderten wir uns, dass wir sehr energisch auf die Online-Registrierung hingewiesen wurden. Wir standen doch schon am Eingang! Aufgrund der Menge persönlicher Daten, die in der WebApp abgefragt wurden, hätten wir eine Online-Erfassung eigentlich gern vermieden.

Nach dem Test freuten wir uns nicht nur über das negative Ergebnis – sondern guckten dabei, wie üblich, auch kurz mit auf den Datenverkehr. Bei einigen URLs hatten wir schon im ersten Moment ein mulmiges Gefühl. Das mulmige Gefühl würde in den nächsten Minuten blankem Entsetzen weichen.