Zum hauptinhalt springen

⚠️ Warning: do not use Hive Social 👉🐝👈

Beekeeper opening a beehive, colorized, 2022

Update: The vulnerabilities are currently no longer exploitable because Hive deactivated their servers. More details


Following the Twitter takeover, a number of services promising to be an alternative gained traction. One of those is “Hive Social”, which reached more than a million users in the last weeks.

Of course, we were interested and took a look at Hive from a security standpoint. We found a number of critical vulnerabilities, which we confidentially reported to the company. After multiple attempts to contact the company we finally reached them by phone and they acknowledged the report. After multiple days and multiple reminders by us, they claimed to fix them within the next two days. However after those two days, multiple vulnerabilities we reported were not fixed and still existed at the time of writing.

⚠️ We strongly advise against using Hive in any form in the current state.

⚠️ ZER-Produktwarnung: Hive Social 👉🐝👈

Beekeeper opening a beehive, colorized, 2022

Update: Die Lücken sind aktuell nicht ausnutzbar, da Hive die Server abgeschaltet hat. Mehr Details


Nach der feindlichen Übernahme von Twitter positionieren sich viele Dienste als Alternative und wachsen teilweise sehr schnell. Einer dieser Dienste ist die App “Hive Social”, die in den vergangenen Wochen die Marke von einer Million Usern überschritten hat.

Natürlich haben wir uns die App mal genauer angesehen und geschaut, wie es dabei um die IT-Sicherheit steht. Wir haben dabei eine Vielzahl von schwerwiegenden Sicherheitslücken gefunden, die wir natürlich an den Hersteller gemeldet haben. Nach mehreren Versuchen, die Verantwortlichen per E-Mail zu kontaktieren, haben wir die CEO telefonisch erreichen können. Sie hat uns dann bestätigt, dass sie den Report bekommen hat und versprochen, dass die Lücken so schnell wie möglich geschlossen werden. Nachdem wir die Verantwortlichen in den vergangenen Tagen mehrfach erinnern mussten, sagten sie zu, die Lücken innerhalb von zwei Tagen zu schließen. Nach diesen zwei Tagen waren die Lücken allerdings noch nicht geschlossen und es bestanden zum Zeitpunkt dieses Posts weiterhin schwerwiegende Sicherheitslücken in Hive Social.

⚠️ Wir raten aktuell dringend davon ab, Hive Social zu benutzen.

Auch dezentral lassen sich gut Patient*innen-Daten verlieren

Hände in Einweghandschuhen, die sich in einer Arztpraxis dem “DocCirrus Datensafe” Server nähern

Unfassbar, aber wahr: Auch in Deutschland kommt die Digitalisierung an. Mittlerweile sogar in Arztpraxen. Termine buchen, Akten durchsuchen, Krankschreibungen und Abrechnungen ausstellen – das alles kann mit einer Software erledigt werden. Die kennt dann Praxen und Patient*innen sehr gut – sehr, sehr gut sogar. Genauso unfassbar, aber leider auch wahr: Als wir uns eine dieser Softwarelösungen für Arztpraxen mal genauer angeschaut haben, hat sie sehr viele Daten verloren. Sehr, sehr viele: Von mehr als einer Million Patient*innen.

Macht doch bitte gute TikTok(-Analysen)

Dies ist ein Archiv eines Twitter-Threads.

Gerade geht mal wieder ein Report zu TikTok herum. Wir haben uns diesen genau durchgelesen: Das ist größtenteils Quatsch. Schauen wir uns die Behauptungen nacheinander an

Please create good tiktok(-analyse)s

Once again a report about TikTok is going around. We have read it carefully: It’s mostly nonsense. Let’s have a look at the claims one after the other

Datenabfluss auf Rezept

Kassenrezept für Datenabfluss unterschrieben von Jens Spahn und Karl Lauterbach

Impotenz? Gibt’s eine App für!

Depression? Schau dir ein paar Videos an!

Sinnlose Apps, die unfassbar teuer sind? Frag deine Krankenkasse!

Ein Glück, dass wir im 21. Jahrhundert leben und es für jedes Krankheitsbild die passende App gibt. Seit Oktober 2020 gibt’s die auch auf Rezept, die Digitalen Gesundheits-Anwendungen, oder kurz: DiGAs. Vielen Dank dafür an Jens Spahn. *hust*

Seit rund 1,5 Jahren können Unternehmen damit Apps entwickeln, die Ärzt*innen dann ihren Patient*innen verschreiben. Doch wie bei so vielen anderen Vorhaben zeigt sich auch hier einmal wieder: Digitalisierung löst nicht alle Probleme – sie schafft viel mehr ganz neue.

Und da wir einen Text über DiGAs schreiben, könnt ihr euch denken, welche Sorte von Problemen wir meinen: Die wenigen Digitalen Gesundheits-Anwendungen, die wir angeschaut haben, hatten massiven Datenabfluss. Insgesamt haben sie Daten von mehr als 20.000 Patient*innen verloren.

Danke für die Blumen, aber wir brauchen staatliche IT-Kompetenz

Wir freuen uns sehr über das große Interesse, das schnelltesttest.de hervorgerufen hat. Trotzdem wollen wir nochmal betonen: Wir sind nur eine Gruppe von ehrenamtlichen Menschen.

Wir haben ein Problem gesehen und dafür eine Lösung gebaut. Für uns ist klar: Dass wir überhaupt eine Web-App bauen können, ist schon ein Privileg. Deshalb war es uns wichtig, den Quellcode von schnelltesttest.de für alle zugänglich zu machen und auch die Web-App für alle zu öffnen.

Nur ein Anfang

Trotzdem dürfen solche Tools nicht davon abhängen, ob wir gerade Zeit haben oder nicht. Im Jahr 2022 muss Digitalisierung als ein Teil der öffentlichen Daseinsvorsorge gedacht werden – erst recht, wenn es um die Bekämpfung einer seit 2 Jahren andauernden, globalen Pandemie geht.

zerforschung präsentiert: schnelltesttest.de

⚠️ schnelltesttest.de wird nicht mehr aktualisiert. ⚠️ Mehr Informationen…

Schnelltests sind wichtig zur Pandemiebekämpfung – aber nicht alle sind gleich gut. Zwar geben die verschiedenen Hersteller an, dass ihre Tests weit über 80% der Infizierten erkennen, oft sogar 100%. Wie zuverlässig aber die einzelnen Tests tatsächlich sind, überprüft unabhängig das Paul-Ehrlich-Institut (PEI)1: Die ermitteln die Sensitivität der Tests, also wie viele der positiven Abstriche auch als positiv erkannt werden und veröffentlichen die Ergebnisse auf ihrer Website.

Wir machen diese Daten nun auch unterwegs vom Smartphone aus einfacher durchsuchbar: mit schnelltesttest.de.

Screenshot von schnelltesttest.de

Die zeitreisenden PCR-Tests des Novak Đoković

Kommen wir nun zum Sport: Die ganze Welt spricht gerade über die Testzertifikate eines Tennisspielers.

Es geht um Novak Đoković. Der ist kürzlich nach Australien eingereist. Ohne Impfung, dafür mit zwei PCR-Testzertifikaten. Einem positiven Testergebnis vom 16. Dezember und einem negativen Testergebnis vom 22. Dezember. Er gilt demnach als Genesen.

Damit hat er eine Sondergenehmigung bekommen, um auch ungeimpft einreisen zu dürfen – die dann bei der Einreise aber als nicht ausreichend angesehen wurde. Mittlerweile hat ein Gericht jedoch entschieden, dass er erstmal einreisen darf.

In Zusammenarbeit mit dem SPIEGEL (€💸) haben wir uns die Gerichtsdokumente auch einmal angeschaut und versucht, die technischen Zusammenhänge nachzuvollziehen. 🕵️