Digitalisierung bleibt Neuland

Unendliche viele Freundschaftstickets?

Das "Freundschaftsticket" für Jugendliche, die in Frankreich Bahn fahren wollen, bekommt man nicht einfach so. Insgesamt sollten 60.000 kostenlose Bahntickets vergeben werden. Natürlich gab es zum Start zum einen wieder "digitale Probleme", d.h. die Server brachen unter dem Ansturm der Interessenten zusammen und waren nicht erreichbar.

Uns interessiert aber mehr das 2. Problem, denn, wie Netzpolitik.org schreibt, konnte, wer das technische Know-how hatte, den Ticketstau umgehen und sich mit Hilfe einer Sicherheitslücke auch noch Tage später eigenhändig einen Pass generieren. Zerforschung gelang es, sich über einen „Hintereingang“ anzumelden und so einen Pass zu erhalten, obwohl eigentlich bereits alle vergeben waren. Obwohl dies den Verantwortlichen bekannt gegeben wurde, war die Lücke noch einige Zeit nutzbar.

Die Gruppe "zerforschung" machte zusätzlich auf weitere Probleme aufmerksam: Hatten Nutzer*innen nämlich ihr Passwort vergessen, erhielten sie einen fehlerhaften Reset-Link zugeschickt, der auf eine unregistrierte Website führte. Jede Person hätte diese Anwendungsadresse „kapern“ können und so gezielt Phishing betreiben können.

Ähnliche Probleme bereichtete "zerforschung" auch von DiscoverEU, wo – ähnlich wie beim Freundschaftspass – Interrailtickets an 18-Jährige verlost werden. Sie konnten dort ohne Probleme Nutzer*innenkonten anlegen und auf die Daten von mehr als 240.000 registrierten Nutzer*innen zugreifen.

Mehr dazu bei https://netzpolitik.org/2023/freundschaftspass-klaffende-sicherheitsluecken-bei-der-ticketbuchung/

Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3uK Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8438-20230623-digitalisierung-bleibt-neuland.htm

Hive Social Buzzing con fallas de seguridad, advierten los analistas

Hive Social Buzzing con fallas de seguridad, advierten los analistas

Los usuarios de las redes sociales que buscan una alternativa al Twitter de Elon Musk probablemente deberían evitar Hive Social, según un equipo de expertos en seguridad cibernética que centró su atención en la plataforma después de que afectara a más de un millón de usuarios. Los investigadores alemanes Zerforschung emitieron una advertencia total para evitar Hive Social. “Los problemas que…

View On WordPress

Twitter 'replaces' Hive shuts down service over privacy warning

Twitter ‘replaces’ Hive shuts down service over privacy warning

Beehives are socialA social media network that has gained significant traction as a potential Twitter “replacement”. Irregular technology has been taken over by billionaire Elon MuskEthical hackers were forced to shut down its servers after identifying major vulnerabilities in the service that could potentially put user data at significant risk. Zerforschung, a decentralized collective of German…

View On WordPress

Twitter rival Hive shut down temporarily, here’s why - Times of India

Twitter rival Hive shut down temporarily, here’s why – Times of India

The popular Twitter alternative Hive has temporarily shut down its servers. The company has taken the decision to shut down the app due to the various critical vulnerabilities pointed out by security researchers. The German collective named Zerforschung researchers have discovered a number of critical vulnerabilities in Hive. Hive recently saw a surge in its user base after Elon Musk took over as…

View On WordPress

Djokovic's PCR test was manipulated (OSINT by Zerforschung, in German)

https://twitter.com/zerforschung/status/1480919124117274625 Comments

Praktische Einkaufshilfe Web-App zeigt Zuverlässigkeit von Schnelltests 20.01.2022, 17:04 Uhr Hunderte verschiedene Corona-Schnelltests sind inzwischen auf dem Markt. Doch manche funktionieren besser als andere. Dank einer neuen Web-App kann man nun schon im Laden herausfinden, wie zuverlässig ein Test tatsächlich ist. Stäbchen rein, drehen, träufeln und warten: Corona-Schnelltests sind unkompliziert und sollen schnell Gewissheit bringen, ob man infiziert ist. In Apotheken, Drogerien und auch Discountern gehören sie inzwischen zum Standardangebot. Doch die Zuverlässigkeit dieser Antigen-Schnelltests ist sehr unterschiedlich, wie das Paul-Ehrlich-Institut (PEI) in Zusammenarbeit mit dem Robert-Koch-Institut (RKI) herausgefunden hat. Vor allem in Bezug auf die Omikron-Variante schlagen manche besser an als andere. Woher weiß man also, ob der Test im Einkaufswagen zuverlässig ist? IT-Experten des Kollektivs "Zerforschung" haben nun eine Antwort darauf. Bislang mussten sich Kundinnen und Kunden durch eine lange Liste des PEI arbeiten, um Gewissheit zu erlangen. Das ist nicht nur mühsam, sondern beim Shoppen auch nicht praktikabel. So landet dann meist der erstbeste Schnelltest im Einkaufbeutel. Hat dieser jedoch eine niedrige Erkennungsrate, kann das buchstäblich fatale Folgen haben. Bundesgesundheitsminister Karl Lauterbach hat zwar eine Positivliste angekündigt, doch die soll frühestens Ende Februar kommen. Zerforschung will nicht so lange warten, denn die IT-Spezialisten kennen den Frust nur zu gut: "Erst nach dem Einkauf haben wir in der Liste des PEI nachgesehen, wie gut diese Tests eine Infektion nachweisen können. Wir waren etwas erschrocken, als wir feststellten, dass der von uns gekaufte Test nur 6 Prozent aller positiven Proben erkannte und selbst bei hoher Viruslast nur etwa 17 Prozent", schreibt das Team auf seiner Website. Hätten die IT-Spezialisten das schon im Laden gewusst, dann hätten sie sich für einen anderen Test entschieden. So dürfte es zurzeit vielen Menschen gehen. Daher hat Zerforschung eine Web-App entwickelt, die schnell und einfach die Zuverlässigkeit der Schnelltests bestimmt. Nutzerinnen und Nutzer können auf schnelltesttest.de den Barcode auf der Packung scannen und bekommen dann direkt angezeigt, wie gut oder schlecht der Test eine Corona-Infektion erkennen kann. Grundlage für die Anwendung ist die Studie des Paul-Ehrlich-Instituts, das die Sensitivität von mehr als 200 Schnelltests geprüft hat. Allerdings weisen die App-Entwickler darauf hin, dass jeder Test viele verschiedene Barcodes haben kann - zum Beispiel, wenn er in verschiedenen Packungsgrößen angeboten wird oder der jeweilige Supermarkt sein eigenes Logo darauf druckt. Daher gebe es bislang noch keine Garantie, dass alle von dem PEI untersuchten Schnelltests von der App erkannt werden, auch wenn das Team nach eigenen Angaben schon sehr viele zusammengetragen hat. Fehlende Tests will das Team so schnell wie möglich ergänzen. Als erste Orientierung dürfte der Barcode-Scanner für vielen Kundinnen und Kunden schon jetzt eine Erleichterung beim nächsten Einkauf sein.

Delivery service Gorillas: customer data on the net

Delivery service Gorillas: customer data on the net

The research group Zerforschung reports that user data from customers of the popular delivery service Gorillas are said to have been accessible online. The service that is active in Berlin, Cologne, Hamburg, Munich, Düsseldorf, Stuttgart and Frankfurt is going through the roof, and many can be supplied during these times. More than a million order data from more than 200,000 customers are said to…

View On WordPress

... und täglich grüßt das Murmeltier

"Daten sammeln mit und ohne Corona"

Jetzt könnten wir haarklein den gleichen Artikel wie am 18.3.2021 schreiben: Schnelltests legen persönliche Daten offen , denn es ist schon wieder passiert. Nach aktuellen Kenntnisstand sind auf der Anmeldeseite für Corona Schnelltests zwischen 6000 und 7000 Datensätze unberechtigt abgerufen bzw. heruntergeladen worden.

Betroffen sein können Menschen, die sich über die Webseite testcenter-corona.de z.B. bei Testzentren der Firma Eventus Media International auf das Coronavirus untersuchen lassen wollten. Das Unternehmen betreibt in Deutschland insgesamt neun Einrichtungen in den Städten Berlin, Hamburg, Leipzig, Dortmund und Schwerte.

Sicherheitsexperten des IT-Kollektivs "Zerforschung" hatten die Schwachstelle entdeckt und das Bundesamt für Sicherheit in der Informationstechnik (BSI) und danach auch Reporterinnen und Reporter von NDR, RBB und MDR informiert.

Hat mein Nachbar Corona?

Wenn ich ihn am Testcenter gesehen habe, dann kann man das im Internet nachschauen. Genau wie in unserem Bericht am 18.3. bei der Firma 21dx waren alle Daten der Testanmelder abrufbar. Das sind:

Vorname

Nachname

Geschlecht

Adresse

Geburtsdatum

Staatsbürgerschaft

Mobilfunknummer

E-Mail-Adresse

Probentyp

Datum und Uhrzeit der Probenahme

Datum und Uhrzeit der Ergebnisbereitstellung

Befund

Optional: Reisepass/Ausweis-Nummer

Optional: Abweichender Aufenthaltsort in den nächsten zwei Wochen

Straße

Hausnummer

Postleitzahl

Ort

Straße

Hausnummer

Postleitzahl

Ort

Warum musste das noch einmal passieren?

Wenn man ein Portal für personenbeziehbare Daten ins Internet stellt, sollte muss man sich Gedanken über die Sicherheit dieser Daten machen. Die Webseite testcenter-corona.de wurde jedoch einfach nur mit dem gängigen kostenlosen WordPress, einem weitverbreiteten Open-Source-Blog-System, aufgesetzt. Dafür stehen hunderte von Plug-Ins für alle möglichen zusätzlichen Funktionalitäten zu Verfügung. So lässt sich WordPress durch Plugins auch zum Buchen von Terminen und Abrufen von Testergebnissen einrichten.

So gut - so sicher - schließlich ist es Open Source Software. Dumm nur, wenn man einen eigenen Inhaltstypen registration für die Schnelltest-Registrierungen anlegt, welcher Terminbuchungen und Testzertifikate abbildet und für diesen aus unerklärlichen Gründen die API-Zugriffsmöglichkeit aktiviert. Dann sind alle Registrierungen auch über diese API weltweit abrufbar. Zerforschung beschreibt das Vorgehen so:

Das ist in etwa so, als würde man sich einen Safe einbauen lassen, aber den Code dann direkt daneben legen.

Die(se) Sicherheitslücke ist inzwischen geschlossen. Das Unternehmen will die betroffenen Kunden über den Zugriff auf ihre Daten informieren.

Mehr dazu bei https://www.tagesschau.de/investigativ/ndr/datenleck-corona-test-101.html und https://zerforschung.org/posts/eventus-testzentren/ Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/7605-20210409-und-taeglich-gruesst-das-murmeltier.htm

Datenleck bei Lieferdienst Gorillas: Millionen Bestelldaten waren abrufbar

Das Kollektiv Zerforschung, das schon Lücken an anderen Lieferdiensten fand, hat sich das Berliner Start-up Gorillas vorgenommen und wurde ebenfalls fündig. Read more www.heise.de/news/…... www.digital-dynasty.net/de/teamblogs/…

http://www.digital-dynasty.net/de/teamblogs/datenleck-bei-lieferdienst-gorillas-millionen-bestelldaten-waren-abrufbar

Bericht: Sicherheitslücke in Testzentren

Bericht: Sicherheitslücke in Testzentren

Berlin (dts Nachrichtenagentur) – Bei einer Software für Corona-Testzentren hat es offenbar eine größere Sicherheitslücke gegeben. Mindestens 136.000 Covid-19-Testergebnisse standen ungeschützt im Netz, berichten "Süddeutsche Zeitung", der RBB und der Wiener "Standard" unter Berufung auf eine Analyse von Zerforschung – einem Kollektiv von IT-Experten – und Chaos Computer Club (CCC). Zusammen mit…

View On WordPress

Schnelltests legen persönliche Daten offen

"Daten sammeln mit Corona"

Eigentlich wollte man nur ein wenig mehr Gewissheit, dass man "negativ" sei - aber man wolte eigentlich nicht, dass das die ganze Welt erfährt. Vor allem sollen sicher nicht alle erfahren, wie ängstlich man ist und wie oft man so einen Schnelltest in den letzten Wochen gemacht hat.

Dazu kommt die unangenehme Tatsache, dass man mit einem großen Berg seiner persönlichen Daten im Netz sichtbar geworden ist:

Vorname

Nachname

Geschlecht

Adresse

Geburtsdatum

Staatsbürgerschaft

Mobilfunknummer

E-Mail-Adresse

Probentyp

Datum und Uhrzeit der Probenahme

Datum und Uhrzeit der Ergebnisbereitstellung

Befund

Optional: Reisepass/Ausweis-Nummer

Optional: Abweichender Aufenthaltsort in den nächsten zwei Wochen

Straße

Hausnummer

Postleitzahl

Ort

Straße

Hausnummer

Postleitzahl

Ort

Wo gibt es denn diese vielen Daten zu sehen?

Wie das Bundesamt für Sicherheit in der Informationstechnik(BSI) feststellte, konnte man mit etwas Browser-Wissen alle diese Daten aus dem Browser auslesen, wenn man auf die Seite des Berliner Schnelltest-Zentrums 21dx ging. Mit einer kleinen Veränderung der UUID in der URL war es dann möglich, für andere getestete Person diese Art Attest abzurufen.

Sicherheitsforscher von "Zerforschung" und dem CCC sind der Meinung, dass man auf Ergebnisse und die zugehörigen Daten von bis zu 136.000 Tests zugreifen konnte. Denn 21DX betreibt auch Standorte in anderen Teilen Deutschlands. Außerdem stammt die fehlerhafte Datenbank wohl von der Firma Medicus AI, die auch in Österreich tätig ist.

Dieser Fehler ist inzwischen behoben - warten wir auf die nächste Datenpanne ...

Mehr dazu bei https://www.rbb24.de/politik/thema/corona/beitraege/2021/03/berlin-datenleck-schnelltests-21dx-medicus-ai.html und https://zerforschung.org/posts/medicus

und https://www.aktion-freiheitstattangst.org/de/articles/7580-20210318-schnelltests-legen-persoenliche-daten-offen.htm

Dienstag, 11. Januar 2022 Dokumente werfen Fragen auf Wurde der PCR-Test von Djokovic gefälscht? Vieles deutet darauf hin, dass Novak Djokovic doch die Australian Open spielen darf. Nun aber tauchen Ungereimtheiten um seinen angeblichen positiven PCR-Test auf. Wurden die Dokumente manipuliert? Mehrere Indizien werfen Fragen auf - und dürften den Tennisstar in große Not bringen. Novak Djokovic kann sich wieder frei bewegen und trainiert bereits fleißig in Melbourne, Australien. Nach jetzigem Stand würde der Tennisstar an den Australian Open ab dem kommenden Montag teilnehmen. Grund dafür ist ein positiver PCR-Test aus Serbien, der Djokovic eine Corona-Infektion am 16. Dezember 2021 bescheinigt. Damit durfte der 34-Jährige als Genesener mit einer Ausnahmegenehmigung zu den Australian Open einreisen und nach einem Visums-Fiasko am Flughafen samt Einwanderungshotel und Gerichtsverhandlung schließlich wieder zum Tennisschläger greifen. Laut Recherchen des Nachrichtenmagazins "Spiegel" gibt es nun allerdings Ungereimtheiten mit diesem positiven PCR-Test, die für den Serben wieder große Probleme bedeuten könnten. Die Anwälte von Djokovic legten in der Gerichtsverhandlung am Montag zwei Testergebnisse in Papierform vor. Demnach wurde der Weltranglistenerste am 16. Dezember positiv und am 22. Dezember dann wieder negativ getestet. Die digitalen Testergebnisse, die per Scan des QR-Codes eingesehen werden können, werfen laut "Spiegel" allerdings Fragen auf. Die URL mit dem digitalen Zeitstempel des angeblich am 16. Dezember durchgeführten positiven Tests gebe nämlich an, dass der Test erst am 26. Dezember durchgeführt wurde. Beim negativen Test stimme der Zeitstempel wiederum. Die IT-Experten der Gruppe Zerforschung, die sich bereits mehrfach mit IT-Sicherheitslücken und dem Aufbau von Testsystemen beschäftigt und dem Nachrichtenmagazin bei der Analyse der digitalen Testergebnisse geholfen haben, bestätigten die Ungereimtheiten und erklärten sie detailliert auf Twitter. Demnach sei auch die Test-ID des angeblich positiven Tests (7371999) vom 16.12. größer als die des negativen Tests vom 22. Dezember (7320919). Der angeblich früher durchgeführte Test sei also erst später digital vermerkt worden. Code zeigt erst positiv, dann negativ an Hat also jemand die Testergebnisse im Nachhinein ins System eingetragen? Wurde Djokovic erst negativ getestet (am 22. Dezember) und anschließen positiv (am 26. Dezember)? Reiste er gar positiv nach Australien ein? Oder gab es womöglich überhaupt keine Infektion und sie wurde nur erfunden und eingetragen, damit der Serbe an den Australian Open teilnehmen kann? Der Tennisstar wurde in den Tagen nach seiner mutmaßlichen Infizierung mit dem Coronavirus mehrfach abgelichtet, wie er ohne Abstand und ohne Maske mit jungen Tennisspielern bei einer Preisverleihung in Belgrad und sogar für ein Fotoshooting der französischen Sportzeitung "L'Équipe" posiert. Das legt nahe, dass Djokovic an den Tagen tatsächlich nicht positiv getestet war. Die QR-Codes werfen weitere Fragen auf, denn der "Spiegel" veröffentlichte in seinem Bericht Screenshots des angeblich positiven Tests, auf dessen digitaler Ausgabe auf Englisch steht (angeklickt am Montag um 13.19 Uhr MESZ): "Testergebnis negativ". Ein Screenshot nur eine Stunde später zeige dann auf einmal das positive Ergebnis an. Der bekannte Tennis-Journalist Ben Rothenburg postete bei Twitter Screenshots mit demselben Dilemma. Die australischen Behörden überprüfen derzeit nicht nur mutmaßliche Falschangaben des Weltranglistenersten zu seinen Aufenthaltsorten vor der Einreise. Auch die PCR-Test-Fragen dürften die Situation von Novak Djokovic weiter erschweren und könnten seiner Turnier-Teilnahme doch noch einen Riegel vorschieben.