Zum hauptinhalt springen

zerforschung

Wir wissen, wie du diesen Winter getestet wurdest. Ein Corona-Drama in sechs Akten

Wie wir nur mal kurz einen Corona-Test machen wollten und versehentlich in ein Nest voller Sicherheitslücken gefallen sind.

Seit dem 8. März gibt es in Berlin »kostenlose Bürger*innen-Tests«. Über das Portal test-to-go.berlin kann man ein Testzentrum finden und einen Termin buchen.

Schon kurz nach Veröffentlichung der Testzentren-Übersicht der Berliner Senatsverwaltung für Gesundheit, Pflege und Gleichstellung waren wir irritiert: Alles an diesem Online-Portal machte auf uns den Eindruck, doch etwas hastig zusammengestrickt worden zu sein – und das nach nur einem Jahr Pandemie.

Da wir ohnehin einen Test machen wollten, konnten wir dieses neue Angebot gleich mal ausprobieren.

Am Testzentrum angekommen wunderten wir uns, dass wir sehr energisch auf die Online-Registrierung hingewiesen wurden. Wir standen doch schon am Eingang! Aufgrund der Menge persönlicher Daten, die in der WebApp abgefragt wurden, hätten wir eine Online-Erfassung eigentlich gern vermieden.

Nach dem Test freuten wir uns nicht nur über das negative Ergebnis – sondern guckten dabei, wie üblich, auch kurz mit auf den Datenverkehr. Bei einigen URLs hatten wir schon im ersten Moment ein mulmiges Gefühl. Das mulmige Gefühl würde in den nächsten Minuten blankem Entsetzen weichen.

Deine Kundendaten – geliefert in 10 Minuten

Deine Daten geliefert in 10 Minuten. We are Flink

Kennt ihr Flink? Das ist eins der neuerdings auftauchenden Startups, die Einkäufe nach Hause liefern. Produkte in der App wählen, bezahlen und in unter 10 Minuten ist ein*e Fahrradkurier*in bei euch. Dafür gab es auch vor ein paar Tagen erst ordentlich Funding.

Als wir uns die App angeschaut haben, haben wir Erschreckendes festgestellt.

Einreisen zum Ausrasten - die neue Corona-SMS

Dieser Artikel ist ein Archiv dieses Twitter-Threads.

Gestern wurde bekannt gegeben, dass ab morgen Einreisenden bei der Einreise eine SMS gesendet wird, um sie über die Corona-Regeln zu informieren.

Wir haben privat schon ein bisschen Witze gemacht, dass die SMS sicher nur einen Link auf eine Website enthält …


Heute haben wir dann den vollständigen Text dieser SMS gefunden ( https://www.bundesgesundheitsministerium.de/presse/pressemitteilungen/2021/1-quartal/corona-sms.html ) und was sollen wir sagen… Bingo!

Die Bundesregierung: Willkommen/Welcome! Bitte beachten Sie die Test-/Quarantäneregeln; please follow the rules on tests/quarantine: https://bmg.bund.de/covid19

No one else was in the room where it happened - den Clubhousefrieden stören

Titelbild

Was bisher geschah …

In unserem ersten Thread zu Clubhouse hatten wir uns Clubhouse erstmal nur oberflächlich angeschaut.

Dabei hatten wir gesehen, dass Clubhouse einen Dienstleister nutzt, um die Telefonie-Funktion anzubieten. Dieser Dienstleister heißt Agora.io und wird auch von vielen anderen Apps eingesetzt, unter anderem einer Therapie-App. Im Thread hatten wir u.a. festgestellt, dass wir problemlos einem Raum lauschen können, ohne den anderen Raumteilnehmer*innen angezeigt zu werden, wenn wir direkt mit Agora kommunizieren.

Umgekehrt kann man so auch in einem Raum angezeigt werden ohne zuzuhören. Das stellt allerdings eher kein Problem dar - schließlich ist man auch außerhalb von Clubhouse oft in Gesprächen anwesend ohne wirklich zuzuhören.

… und wie es weiter ging …

No one else was in the room where it happened - disturbing the clubhouse peace

Coverimage

What happened so far …

In our first thread on Clubhouse (in german) we had only taken a superficial look at Clubhouse.

We saw that Clubhouse uses an external service provider called Agora.io for the voice call functionality. Agora.io is also used by many other apps, including a therapy app. In the thread we found that, among other things, we can easily listen to a room without being displayed to the other room participants if we communicate directly with Agora.

Conversely, you can also be displayed in a room without listening. However, this is not really a problem - after all, even outside Clubhouse you are often present in conversations without really listening.

… and what happened next …

Daten aus dem Untergrund

Wie im Artikel über unsere CWA-Messungen in Berliner U-Bahnen versprochen, veröffentlichen wir nun die Daten aus unseren Messungen. Um weitere Auswertungen mit den Daten möglichst einfach zu machen, haben wir ein paar Vorverarbeitungsschritte gemacht. Dabei haben wir außerdem alle nicht benötigten Daten, die als persönliche Daten gewertet werden könnten, entfernt. Keine dieser Veränderungen sollte die Auswertbarkeit der Daten beeinträchtigen. Eine genaue Beschreibung, welche Änderungen wir vorgenommen haben und eine Beschreibung des Datenformats befindet sich im Readme des Repositories.

Das GitHub repo mit den Daten und Doku ist unter https://github.com/zerforschung/Covid32Data zu finden

Clubhouse really likes your phone book

Dieser Artikel ist auch auf Deutsch erschienen.


tl;dr: Every time you open the invite tab, clubhouse uploads all the phone numbers from your address book.


Clubhouse is currently invite-only, which is probably part of the current hype. To invite someone you have to give Clubhouse access to your address book. This has been criticized several times. There has been a lot of discussion about how Clubhouse uses this address book data. We took a look and document how clubhouse currently uses the data from your address book and how it could be done better.

Clubhouse mag dein Telefonbuch wirklich gern

This article was also published in english.


tl;dr: Jedes mal, wenn man das Invite-Tab öffnet, werden alle Telefonnummern aus dem Adressbuch hochgeladen.


Clubhouse ist aktuell invite-only, was vermutlich einen Teil des aktuellen Hypes ausmacht. Um eine Person einzuladen muss man Clubhouse Zugriff auf das eigenene Adressbuch geben. Dies wurde bereits mehrfach kritisiert. Es gab viel Diskussion, wie Clubhouse diese Adressbuch-Daten nutzt. Wir haben uns angeschaut, wie Clubhouse das Adressbuch verwendet und wie es besser ginge.

Auf der Suche nach Corona im Berliner Untergrund

Titelbild

In Bussen und Bahnen steckt man sich nicht mit Corona an, behaupten die Verkehrsunternehmen immer wieder1 und starten Werbekampagnen zum “wieder einsteigen”. Das erscheint auf den ersten Blick irrational, da ÖPNV-Umgebungen viele Merkmale aufweisen, die laut RKI das Infektionsrisiko erhöhen: viele Menschen, geringe Abstände, geschlossene Räume.

Die Verbünde begründen ihr Vertrauen in die Sicherheit des ÖPNV damit, dass nur ein Bruchteil der ans RKI gemeldeten Infektionsorte Bus und Bahn betreffen.

Allerdings konnten die Gesundheitsämter mehr als 75% der Übertragungsorte gar nicht ermitteln.

Der ÖPNV ist ein idealer “versteckter” Übertragungsort: Viele Zufallsbegegnungen mit ständig wechselnden, unbekannten Menschen. Es ist damit unmöglich, ein Kontakttagebuch zu führen und diese Kontakte dem Gesundheitsamt mitzuteilen.

Um die tatsächliche Gefahr einschätzen zu können, überlegten wir uns also, wie wir bessere Daten über Coronafälle im ÖPNV erfassen können.

Nach kurzer Überlegung, uns selbst in die Bahn zu stellen und die Leute zu fragen, ob sie Corona haben und dabei unsere Gesundheit zu gefährden, hatten wir eine sehr viel bessere Idee…