Zum hauptinhalt springen

Schlagwort: databreach

⚠️ Warning: do not use Hive Social 👉🐝👈

Beekeeper opening a beehive, colorized, 2022

Update: The vulnerabilities are currently no longer exploitable because Hive deactivated their servers. More details


Following the Twitter takeover, a number of services promising to be an alternative gained traction. One of those is “Hive Social”, which reached more than a million users in the last weeks.

Of course, we were interested and took a look at Hive from a security standpoint. We found a number of critical vulnerabilities, which we confidentially reported to the company. After multiple attempts to contact the company we finally reached them by phone and they acknowledged the report. After multiple days and multiple reminders by us, they claimed to fix them within the next two days. However after those two days, multiple vulnerabilities we reported were not fixed and still existed at the time of writing.

⚠️ We strongly advise against using Hive in any form in the current state.

⚠️ ZER-Produktwarnung: Hive Social 👉🐝👈

Beekeeper opening a beehive, colorized, 2022

Update: Die Lücken sind aktuell nicht ausnutzbar, da Hive die Server abgeschaltet hat. Mehr Details


Nach der feindlichen Übernahme von Twitter positionieren sich viele Dienste als Alternative und wachsen teilweise sehr schnell. Einer dieser Dienste ist die App “Hive Social”, die in den vergangenen Wochen die Marke von einer Million Usern überschritten hat.

Natürlich haben wir uns die App mal genauer angesehen und geschaut, wie es dabei um die IT-Sicherheit steht. Wir haben dabei eine Vielzahl von schwerwiegenden Sicherheitslücken gefunden, die wir natürlich an den Hersteller gemeldet haben. Nach mehreren Versuchen, die Verantwortlichen per E-Mail zu kontaktieren, haben wir die CEO telefonisch erreichen können. Sie hat uns dann bestätigt, dass sie den Report bekommen hat und versprochen, dass die Lücken so schnell wie möglich geschlossen werden. Nachdem wir die Verantwortlichen in den vergangenen Tagen mehrfach erinnern mussten, sagten sie zu, die Lücken innerhalb von zwei Tagen zu schließen. Nach diesen zwei Tagen waren die Lücken allerdings noch nicht geschlossen und es bestanden zum Zeitpunkt dieses Posts weiterhin schwerwiegende Sicherheitslücken in Hive Social.

⚠️ Wir raten aktuell dringend davon ab, Hive Social zu benutzen.

Auch dezentral lassen sich gut Patient*innen-Daten verlieren

Hände in Einweghandschuhen, die sich in einer Arztpraxis dem “DocCirrus Datensafe” Server nähern

Unfassbar, aber wahr: Auch in Deutschland kommt die Digitalisierung an. Mittlerweile sogar in Arztpraxen. Termine buchen, Akten durchsuchen, Krankschreibungen und Abrechnungen ausstellen – das alles kann mit einer Software erledigt werden. Die kennt dann Praxen und Patient*innen sehr gut – sehr, sehr gut sogar. Genauso unfassbar, aber leider auch wahr: Als wir uns eine dieser Softwarelösungen für Arztpraxen mal genauer angeschaut haben, hat sie sehr viele Daten verloren. Sehr, sehr viele: Von mehr als einer Million Patient*innen.

Datenabfluss auf Rezept

Kassenrezept für Datenabfluss unterschrieben von Jens Spahn und Karl Lauterbach

Impotenz? Gibt’s eine App für!

Depression? Schau dir ein paar Videos an!

Sinnlose Apps, die unfassbar teuer sind? Frag deine Krankenkasse!

Ein Glück, dass wir im 21. Jahrhundert leben und es für jedes Krankheitsbild die passende App gibt. Seit Oktober 2020 gibt’s die auch auf Rezept, die Digitalen Gesundheits-Anwendungen, oder kurz: DiGAs. Vielen Dank dafür an Jens Spahn. *hust*

Seit rund 1,5 Jahren können Unternehmen damit Apps entwickeln, die Ärzt*innen dann ihren Patient*innen verschreiben. Doch wie bei so vielen anderen Vorhaben zeigt sich auch hier einmal wieder: Digitalisierung löst nicht alle Probleme – sie schafft viel mehr ganz neue.

Und da wir einen Text über DiGAs schreiben, könnt ihr euch denken, welche Sorte von Problemen wir meinen: Die wenigen Digitalen Gesundheits-Anwendungen, die wir angeschaut haben, hatten massiven Datenabfluss. Insgesamt haben sie Daten von mehr als 20.000 Patient*innen verloren.

Zu Besuch bei Deutschlands bestem EdTech-Datenleck – virtuell natürlich

Dies ist der dritte Teil unserer Back-To-School-Reihe.

Stellt euch vor, ihr seht eine Haustür, die sperrangelweit offen steht. Also geht ihr rein und ruft durch das ganze Haus, dass die Tür offen ist und ob die nicht mal jemand zumachen kann. Ach was, ihr ruft nicht – ihr brüllt. Und trotzdem: Keine Antwort. Stattdessen stolpert ihr überall über aufgetürmte und aufgeschlagene Aktenordner mit Namen von drei Millionen Menschen, mit Fotos, Geburtsdaten, Wohnorten und Namen von Schulen oder Unis.

Klingt weit hergeholt? Ist uns aber genau so passiert – virtuell natürlich, in einer App. Dieser Blogpost erzählt von unserem kurzen Besuch bei der Lern-App StudySmarter.

Learnu oder: Meine App, die hat drei Lücken 🎶

Dieser Artikel ist der zweite Teil der “Back-To-School-Serie”.

Hausaufgaben – ein leidiges Thema, das so ziemlich alle in sehr schlechter Erinnerung haben oder noch alltäglich ertragen müssen. Viele Schüler*innen versuchen deshalb, möglichst wenige davon zu machen und die Hausaufgaben solidarisch untereinander zu teilen. Doch was alles schief gehen kann, wenn man versucht, daraus ein Geschäftsmodell zu machen, das zeigen wir euch jetzt.

Scoolio – Kellerbesichtigung des Grauens

Einige Menschen haben Leichen im Keller, andere haben einen Datenabfluss im Keller
Dieser Artikel ist der erste Teil der “Back-To-School-Serie”.

Über manche Menschen sagt man, sie hätten Leichen im Keller. Sie haben Geheimnisse, von denen niemand erfahren soll. Bei der App scoolio ist das anders: Die App schafft es gerade nicht, Geheimnisse für sich zu behalten. E-Mail-Adressen von Schüler*innen, ihr aktueller Standort, Schule, Klasse – alles abrufbar im Netz.

Wenn der Keller also so bequem zugänglich ist, machen wir uns doch auf den Weg und betrachten die sperrangelweit offenen Türen. Kommt mit auf die Reise – Stockwerk für Stockwerk in den Keller.

Deine ganze Stipendiums­bewerbung - in einem Tweet zerlegt

Ein Studium kostet viel Geld – zu viel für einige Menschen. Deshalb gibt es Stipendien als Unterstützung. Eigentlich eine gute Sache, jedenfalls so lange bei der Bewerbung alles gut läuft. Das mussten wir erfahren, als Teile unseres zerforschungs-Kollektivs sich für ein Stipendium bewerben wollten - und leider auch gleich wieder über einen ganzen Batzen persönlicher Dokumente von anderen Bewerber*innen gestolpert sind.