🤦 Datenschleuder des tages đź¤¦

Nicht, dass jetzt jemand sagt, niemand hätte davor gewarnt

Könnt ihr euch noch an dieses „vivy“ erinnern, diese wischofon-äpp, die euch von krankenversicherern angedreht werden sollte (ihr habt euch hoffentlich gehĂĽtet oder die versicherung mit sonderkĂĽndigung und fĂĽr eure kosten gestellter rechnung gewexelt), damit eure gesundheitsdaten in einer extrasicheren „deutschland-klaut“ gespeichert werden und ihr die verwalten könnt? Und damit so richtige orwellness aufkommt, sind in der scheißäpp von „vivy“ auch noch träcker verbaut, die ihre daten bei irgendwelchen dritten speichern.

Eine wirklich beschissene idee, nicht wahr? Der security- und privatsfären-albtraum der zehner jahre, die scheißwischofone, und daten, die verdammt weit in die intimsfäre reinragen? Eine idee, die sich eigentlich sofort von selbst verbietet, wenn man nur eine einzige verdammte sekunde drüber nachdenkt, nicht wahr? Nichts, was jemand ernst meinen und ernst nehmen könnte, nicht wahr?

Von daher wundert es mich überhaupt nicht, dass der wischofon-krüppelscheiß sörverseitig dermaßen beschissen implementiert wurde, dass jeder an die weit in die privatsfäre reichenden daten kommen und sie sogar manipulieren konnte [archivversjon].

Die beworbenen SchutzmaĂźnahmen entsprechen grundsätzlich gängiger Praxis zum Schutz sensibler Daten, aber die Betonung der Sicherheitsmerkmale liest sich fĂĽr IT-Sicherheitsforscher wie eine Einladung, dies einmal genauer zu prĂĽfen. Unser Kollege Martin Tschirsich ist dieser Einladung gefolgt und fand innerhalb kĂĽrzester Zeit gravierende SicherheitslĂĽcken in der Vivy-App und den dazugehörigen Servern […] Informationen darĂĽber, wer wann mit welchem Arzt Gesundheitsdaten geteilt hatte, lagen ungeschĂĽtzt fĂĽr jeden lesbar im Netz […] Unbefugte konnten ĂĽber das Internet alle Dokumente, die an einen Arzt gesendet werden sollten, abfangen und entschlĂĽsseln […] konnten beispielsweise ĂĽber trivial ausnutzbare Fehler in der Server-Anwendung die geheimen SchlĂĽssel der Ă„rzte ausgelesen werden

Als ob die benutzung von wischofonen nicht unsicher genug wäre, muss man auch noch unfähig in der implementazjon kryptografischer verfahren sein!

Spätestens jetzt ist es an der zeit, bei jeder verdammten krankenkasse, die ihren versicherten diese krĂĽppelscheiĂźe namens „vivy“ aufdrĂĽcken will, wegen unheilbaren vertrauensbruchs fristlos zu kĂĽndigen und dieser krankenkasse die eigenen kosten in rechnung zu stellen. Wenn man alles mit sich machen lässt, hört diese verantwortungslose und sich täglich verschlimmernde datenschleuder-scheiĂźe ganz sicher niemals auf!

Und nein, die drexäpps anderer anbieter sind nicht besser:

modzero steht derzeit in Kontakt mit einem weiteren Anbieter einer Gesundheits-App, da auch die Konkurrenz mit durchaus schwerwiegenden Sicherheitsproblemen zu kämpfen hat

Wenns internetz im händi ist, ists gehirn im arsch!

Nachtrag, 17:50 uhr: Sehr herzerfrischend ist diese tolle PRessseerklärung. Nur für den selbstverständlich völlig undenkbaren fall, dass diesem dokument in der domäjhn vivy punkt com irgendetwas zustoßen sollte, habe ich hier noch eine sicherheitskopie der tollen PRessearbeit abgelegt:

Sicherheit auf höchstem Niveau ist im Umgang mit den hochsensiblen
Daten unserer Nutzer ein Grundpfeiler des Selbstverständnisses der Vivy GmbH. Darum arbeitet unser Unternehmen fortlaufend an der Verbesserung der Sicherheitsarchitektur und lässt die Vivy-App, die Vivy-Browser-Applikation und die Backend-Systeme regelmäßig durch externe IT-Sicherheitsexperten überprüfen

Vielen dank auch an die scheißjornalisten, die so einen durch und durch verlogenen scheißdreck abschreiben und als ungekennzeichnete reklame im redakzjonellen teil ihrer scheißjornalismusmachwerke veröffentlichen! Möge das sterben bald beginnen, aber kwalvoll lange dauern!

Facepalm-bild: MjolnirPants, kwelle: wikimedia commons, lizenz: CC BY-SA 3.0.

4 Antworten zu “🤦 Datenschleuder des tages đź¤¦

  1. Aus der Zusammenfassung des Berichts:

    Informationen darĂĽber, wer wann mit welchem Arzt Gesundheitsdaten geteilt hatte, waren ungeschĂĽtzt fĂĽr jede Person lesbar im Internet.
    Versicherte konnten durch die Informations-Lecks anhand von Name, Foto, E-Mailadresse, Geburtsdatum und Versichertennummer identifiziert werden. Auch Name, Adresse und Fachrichtung des kontaktierten Arztes konnten ausgelesen werden.
    Unbefugte konnten ĂĽber das Internet alle Dokumente, die an einen Arzt gesendet werden sollten, abfangen und entschlĂĽsseln.
    Darüber hinaus fand modzero zahlreiche konzeptionelle Schwächen im Rahmen der Nutzung der RSA-Verschlüsselung und des Schlüssel-Managements. So konnten beispielsweise über trivial ausnutzbare Fehler in der Server-Anwendung die geheimen RSA-Schlüssel der Ärzte ausgelesen werden.
    Zwei-Faktor-Authentifizierung sollte das Sicherheitsniveau bei der Anmeldung erhöhen. Diese Methode konnte mittels Brute-Force-Angriff praktisch umgangen werden.
    In die Smartphone-App konnte beliebiger HTML-Code eingebettet und fĂĽr glaubhafte Phishing-Angriffe genutzt werden.
    Allein mit E-Mailadresse und Passwort eines Nutzers und ohne Kenntnis dessen privaten SchlĂĽssels konnten in einem simulierten Angriff alle nachfolgend ĂĽbertragenen Gesundheitsdaten durch den Angreifer entschlĂĽsselt werden.
    Zudem konnten auf dem Smartphone im Klartext gespeicherte Gesundheitsdaten ausgelesen werden.
    Die Ende-zu-Ende-Verschlüsselung kann durch einen Man-in-the-Middle-Angreifer ausgehebelt werden, da Schlüssel mit Kommunikationspartnern ausgetauscht werden, ohne deren Identität zu verifizieren.
    Zudem sichert der eingesetzte Verschlüsselungsmodus lediglich die Vertraulichkeit der Gesundheitsdaten zu, nicht aber deren Integrität und Authentizität. Unautorisierte Änderungen bleiben unbemerkt.

    Das liest sich wie ein kompletter Durchmarsch.
    Anscheinend kann man damit auch Diagnosen beliebiger Ă„rzte fĂĽr beliebige Patienten einstellen.

  2. Nebenbei:

    So konnten beispielsweise ĂĽber trivial ausnutzbare Fehler in der Server-Anwendung die geheimen RSA-SchlĂĽssel der Ă„rzte ausgelesen werden.

    So so. Da speichert ein Server die geheimenRSA-SchlĂĽssel der Ă„rzte? Das ist ja schon vom Konzept her nicht geheim. Wenn jemand anderes als der Arzt den geheimen SchlĂĽssel hat, ist der Beweiswert der digitalen Arzt-Signatur gleich Null. Wie kann so etwas ĂĽberhaupt zugelassen/finanziert/ausgerollt werden?

    • War doch grad ein Urteil glaub ĂĽber Portugal? Ein Krankenhaus hat fĂĽr Hinz und Kunz Zugänge mit Arztstatus eingerichtet.

      So wird das in Zukunft halt laufen. Auf dem Papier alles erfüllt, die Realität zeigt die offenkundige vollmundig verlogene Un-Sicherheits-Technik der Krankenkassen.

      Das schlimme ist, irgendwann ist das Leaken Normalität. Dateninkontinenz zur akzeptierten Wirklichkeit.

      Ich kanns nicht fassen, wie beschissen dämlich radikal Sicherheitsverachtend da vorgegangen wird. Das ist nicht mal mehr diletantisch, das ist viel viel mehr als das. Das muss einfach als strafbare Fahrlässigkeit gewertet werden.

      Es sollte wohl mal so sein, das Staatsanwälte bei solchen Nachrichten sofort Strafanzeige wegen Verstößen gegen Datenschutz erlassen.
      Geheimnissverrat besonders sensibler anvertrauter Daten.

      Dachte noch letztens beim Kuketz irgendwie naja … koch mal nicht ganz so heiĂź…

      Da sieht man, der hat nur den Herd angezĂĽndet.

      Aber das

  3. Pingback: Gesundheit des tages | Schwerdtfegr (beta)

Schreibe eine Antwort zu KnastfĂĽrDatenleakerJETZT Antwort abbrechen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ă„ndern )

Google Foto

Du kommentierst mit Deinem Google-Konto. Abmelden /  Ă„ndern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ă„ndern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ă„ndern )

Verbinde mit %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.