Datenschleuder des tages

Hat hier etwa jemand geglaubt, dass mit empfindlich weit in die privat- und intimsfäre reinragenden medizinischen daten sorgfältiger umgegangen wird? Nun, coronapoint belehrt euch eines besseren:

Normalerweise antwortet ein Server auf so eine Anfrage lediglich mit einer kurzen Erfolgsmeldung: “Yay, Problem verstanden, du bekommst eine Mail”. Der Server von Coronapoint ist hier leider etwas gesprächiger und beschreibt sehr ausführlich, was im Hintergrund passiert. Dabei erzählt er auch fröhlich den Inhalt der verschickten Mail – inklusive dem Passwort […] man benötigt gar keinen Zugriff auf den E-Mail-Account, um das Passwort zu bekommen. Es reicht, die E-Mail-Adresse zu kennen, diese in das Formular einzutragen und dann zuzuschauen, was der Server an den Mail-Account schickt […] Der QR-Code ist eine Bilddatei, die sich unter https://e.coronapoint.de/cwa/qrcodes/{Buchungsnnummer}.png abrufen lässt […] lassen sich solche Zahlen einfach herunterzählen […] nach nur zwei Versuchen landen wir auf dem QR-Code einer anderen Person […] Zugriff auf mehr als 88.000 QR-Codes der letzten 20 Tage […] die QR-Codes können noch mehr Daten enthalten als nur ein Test-Hash. Die CWA unterscheidet zwischen namentlichen und anonymen Tests. Bei namentlichen Tests werden neben dem Hash auch eine Test-ID, Vorname, Nachname und Geburtsdatum im QR-Code hinterlegt […] mehr als 53.000 für namentliche Tests – und enthielten somit persönliche Daten […] dass die Passwörter nur 4 Zeichen lang sind und nur aus den Zeichen 0123456789ABCDEF bestehen. Selbst ein alter Laptop kann die 65.536 möglichen Kombinationen in Sekundenbruchteilen durchprobieren […] wird ein Link zusammengebaut, der wie folgt aussieht: https://e.coronapoint.de/pdfs/results/result_{Buchungsnummer}.pdf […] waren dort mehr als 140.000 Testergebnisse abrufbar […] Geschlecht, Name, Adresse, PLZ, Ort , Telefonnummer, E-Mail, Geburtsdatum, Ausweis-Nr. (falls angegeben), Test-Name, Hersteller, Test-Datum, Uhrzeit, Testende Person (Name), Testergebnis

Meine fresse, da will die hand gar nicht mehr aus dem gesicht raus! 🤦‍♂️️

Ich wünsche allen genießern meiner zeit auch weiterhin viel spaß beim festen glauben an den ganz besonderen sonderschutz der persönlichen und medizinischen daten im gesundheitswesen! Müsst ihr ganz feste dran glauben! An die daten kam man übrigens weiterhin, nachdem coronapoint über die fehler informiert wurde und verlautbarte, dass die fehler beseitigt worden. Warum sollten die das auch selbst testen?

Also: immer schön feste an die sorgfalt irgendwelcher datenverarbeitenden scheißklitschen glauben! Die scheißliste wäxt und wäxt und wäxt.

Ach ja:

Auch die Betroffenen hat Coronapoint bisher nicht informiert, dabei sind ihnen diese Lücken seit über einer Woche bekannt

Mal schauen, wie das bußgeld nach DSGVO aussieht… oh, die DSGVO ist nicht geschrieben worden, um solche datenschleudern zur rechenschaft ziehen zu können, sondern nur, um privaten mitgestaltern des internetzes ein paar weitere juristische unwägbarkeiten aufzubürden? Na, dann kann man wohl nix machen, herr datenschutzvermeidungsbeauftrager.

Datenschleuder des tages

Der digitale impfausweis in der schweiz war eine gute maßnahme zur erhöhung des allgemeinen datenreichtums:

Jeder konnte sich als Arzt ausgeben und dann Gesundheitsdaten hunderttausender Schweizer einsehen und sogar verändern

Der fehler sitzt so tief, dass eine reparatur nicht möglich ist.

Auch weiterhin viel spaß beim festen glauben an den überall leichtherzig und konsekwenzenlos versprochenen schutz eurer persönlichen daten! Ihr habt doch alle nix zu verbergen. Ditschitäll first, bedenken second. Mit gesundheitsdaten wird kein bisschen besser umgegangen als mit anderen daten, auch von staatlichen stellen nicht. Die liste wäxt und wäxt und wäxt.

via wwwahnsinn.

Datenschleuder des tages

Der französische Versicherungskonzern Axa hat bestätigt, in Südostasien Opfer eines gezielten Ransomware-Angriffs geworden zu sein […] hat eine Gruppe Cyberkrimineller namens Avaddon die Axa-Partner in Asien angegriffen und drei TByte an Daten erbeutet. Dies ginge aus einem Beitrag im Dark Web hervor, den die Financial Times gesehen habe. Die Daten stammen aus den vier zuvor genannten asiatischen Ländern und umfassen persönliche Daten der Kunden, Krankenakten und Versicherungsansprüche sowie Daten von Krankenhäusern und Ärzten

Auch weiterhin viel spaß und orwellness beim festen glauben an den überall lufteleicht und völlig konsekwenzenlos versprochenen schutz eurer persönlichen daten! Selbst weit in die privat- und intimsfäre hineinreichende gesundheitsdaten landen schließlich bei verbrechern, je größer die datensammlung, desto größer der anreiz und der betriebene aufwand. Die liste wäxt und wäxt und wäxt.

Überwachung des tages

Wer sich am Verkaufstresen einer Apotheke etwas betreten nach Hämorrhoiden-Salbe erkundigt, hätte wohl ungern einen Mitarbeiter von Facebook oder einer anderen Marketingfirma in Hörweite, der sich fleißig Notizen über Beschwerden und erworbene Medikamente macht. Genau dem setzen sich aber Kund:innen aus, die ihre Medikamente online über die App „Shop Apotheke“ kaufen […] Facebook erfährt, nach welchen Medikamenten Nutzer:innen in der App gesucht haben […] Dafür ist es nicht nötig, die „Shop Apotheke“-App mit einem Facebook-Konto zu verknüpfen […] Insgesamt nimmt die App zu neun Drittanbietern Kontakt auf. Die Anbieter fordern die Nutzer:innen nicht explizit auf, der Datenweitergabe zuzustimmen

Müsst ihr jetzt alles mit euren wischofonen und einer äpp machen, haben sie euch gesagt. Ist hipp, bekwem, ditschitäll, internetz und modern, haben sie euch gesagt. Und außerdem verbessert es euer reklameerlebnis!!1!

Wenn doch nur vorher jemand gewarnt hätte!

Datenschleuder des tages

Die CDU hat persönliche daten von rd. 18.500 wahlkrampfhelfern und rd. 1.350 angeworbenen unterstützern über mehrere jahre hinweg öffentlich zugreifbar ins internetz gestellt [archivversjon]. Es war nicht besonders schwierig, auf diese daten zuzugreifen, und es erforderte insbesondere keine „häckertuhls“, sondern nur einen lokal laufenden proxysörver, der mitgeschnitten hat, so dass man aus dem leicht erfassabren schema der API-abrufe weitere möglichkeiten zum datenabruf erraten konnte. Jedes aufgeweckte kind mit technischem grundverständnis hätte diesen angriff hinbekommen. Dieser angriff wäre natürlich nicht möglich gewesen, wenn die äpp überprüft hätte, ob es sich um das korrekte TLS-zertifikat der gegenstelle handelt. Die kennen sich echt aus mit diesem digital und dieser isierung, die von der CDU!1!! Denen könnt ihr vertrauen, wenns um datenschutz geht!!1!

Die CDU hat hier bewiesen, dass sie nicht nur in den Parlamenten, sondern auch mit ihren eigenen digitalen Produkten für Unsicherheit im Netz sorgt. Wieder einmal hat sie gezeigt, warum das Massenhafte, für die Gesellschaft völlig nutzlose Sammeln von Daten eine Gefahr für uns alle darstellt

Auch weiterhin viel spaß und orwellness beim festen glauben an den überall lufteleicht und völlig konsekwenzenlos versprochenen schutz eurer persönlichen daten. Die liste wäxt und wäxt und wäxt.

WanzÄpp des tages

Was das scheißfratzenbuch mit bestupsungen und einschüchterungen von seinen wanzäpp-nutzern erzwingen will, ist die „zustimmung“ zu nutzungsbedingungen, die gegen geltendes recht verstoßen.

Ich würde ja keine softwäjhr von arschlöchern benutzen, die mich so behandeln wie das scheißfratzenbuch seine wanzäpp-nutzer. Und schon gar nicht, wenn es alternativen gibt.

Auch weiterhin viel spaß mit den angeboten börsennotierter unternehmen ohne seriöses geschäftsmodell. Müsst ihr durch euer ganzes leben tragen! Die konzerne lieben euch doch alle, sie lieben doch!

WanzÄpp des tages

WanzÄpp so: hey, nutzviech nutzer, akzepier gefälligst, dass wir die wanzäpp-datensammlung mit der fratzenbuch-datensammlung zusammenführen, und wenn nicht, dann stupsen wir einfach so lange an dir rum, bis du endlich akzeptierst.

WhatsApp hat auf seiner Website eine neue FAQ veröffentlicht, in der es unter anderem um die Frist bis zum 15. Mai geht. Da heißt es nun, dass „niemand seine Konten löschen lassen oder Funktionen verlieren wird“, weil die Richtlinien aktualisiert werden. Die Nutzer werden in den nächsten Wochen aber immer wieder Erinnerungen erhalten, um das Teilen ihrer Daten mit Facebook zu akzeptieren, also auch nach dem 15. Mai. „In dieser Zeit werden Sie eingeschränkte Funktionen auf WhatsApp vorfinden, bis Sie die Updates akzeptieren“, so das Unternehmen weiter […] Da heißt es dann weiter, dass nach einigen Wochen mit eingeschränkter Funktionalität keine eingehenden Anrufe oder Benachrichtigungen mehr empfangen werden können, und WhatsApp wird aufhören, Nachrichten und Anrufe an Ihr Telefon zu senden

Herzallerliebst im verlinkten artikel: der daunlohd-link für genau diese zuvor im artikel beschriebene gängelscheiße. Genau richtig für die ganzen leute, die einfach zu doof sind, guhgell pläjh zu benutzen. Damit wanzäpp besser zu seiner zielgruppe kommt. So eine feine zielgruppe!

Bildschirmfoto mit dem hervorgehobenen daunlohd-link

Na, was hat euch das scheißfratzenbuch dafür bezahlt? Was es das wert, euch wie schlechte komiker aus der reklamehölle dastehen zu lassen? Erstickt doch an eurer beschissenen intelligenzverachtenden scheißreklame, ihr scheißjornalisten! (An der ungekennzeichneten sowieso!)

Auch weiterhin gilt: wenns internetz im händi ist, ists gehirn im arsch.

Datenschleuder des tages

Gorillas, so eine lieferklitsche mit äpp (ich würde ja grundsätzlich um alles mit wischofon einen riesenbogen machen), hat die daten seiner fahrer, die daten von 200.000 kunden und einer milljon bestellungen unzureichend geschützt in die „klaut“ gestellt und damit veröffentlicht [archivversjon]. Die veröffentlichten kundendaten waren sowohl für einen identitätsmissbrauch als auch für einen trickbetrug ausreichend.

Ich wünsche auch weiterhin viel spaß beim festen glauben an den überall völlig konsekwenzenlos versprochenen schutz eurer persönlichen daten! Die liste wäxt und wäxt und wäxt.

DSGVO des tages

In den nächsten tagen werden wir erfahren, ob die DSGVO nur dafür gemacht wurde, kleinen unternehmen und privatpersonen das selbstverantwortliche betreiben einer eigenen webseit mit juristischen risiken zu vergällen, oder ob die möglichen bußgelder auch mal gegen eine richtige datensau verhängt werden. Ich habe da ja so einen verdacht, wie es kommen wird, obwohl guhgell sogar noch damit prahlt, dass es auf geltende gesetze scheißt. Im schlimmsten fall gibt es ein symbolisches bußgeld für die portokasse von guhgell, statt der möglichen sex milljarden euro…

Übrigens bitte ich um eine ausweitung der bußgeldbescheide, damit auch meikrosoft endlich mal ein paar milljärdchen für seinen widerlichen umbau von windohs 10 zu einer überwachungswanze abdrücken muss. Von äppel will ich gar nicht erst anfangen.

Und: alle bußgeldbescheide bitte mindestens wöchentlich zustellen!!1!

Datenschleuder des tages

„Die basis“, eine den „kwerdenkern“ nahestehende partei, hat die persönlichen daten von tausenden ihrer mitglieder offen ins internetz gestellt [archivversjon]. Um darauf zuzugreifen, waren weder spezjelle programme noch vertiefte kenntnisse erforderlich, es reichte, wenn man einen webbrauser bedienen konnte.

Unglaublich, so ein pfusch? Glaubst du nicht, kwerdenker? Da hat sich doch die STASI, Bill Gates oder der apostolische stuhl reingehäckt? Du willst erstmal eine „seriösere“ kwelle? Na gut, siehe auch beim tagesspiegel [archivversjon]. Weitere kwellen werden in den näxsten stunden folgen. Sogar deine bildzeitung wird in den näxsten stunden folgen. Kannst ja mal deinen parteivorstand fragen, was der sich dabei denkt, einfach deine daten ohne zugriffsschutz ins offene internetz zu pusten! Der muss dich übrigens sowieso bald informieren, sonst wird das bußgeld nach DSGVO noch teurer…

Vielleicht sollten die „kwerdenker“ es lieber mal mit einem administrator versuchen, der auch geradeaus denken kann. 🤭️

Ich wünsche allen menschen auch weiterhin viel spaß beim festen glauben an den überall völlig konsekwenzenlos versprochenen schutz ihrer persönlichen daten. Die unerfreuliche liste wäxt und wäxt und wäxt. So ist das eben, wenn es keinen datenschutz für menschen gibt, sondern nur für autokennzeichen.

Datenschleuder des tages

In einem bekannten Hackerforum wurden 1,3 Millionen benutzerbezogene Daten der Social Media-Plattform Clubhouse veröffentlicht. Die Daten enthalten User IDs, Namen, Foto-URLs, User-Profilnamen – auch die von Twitter und Instagram –, Anzahl der Follower und Follows sowie das Datum der Kontoerstellung und die Profilnamen der Nutzer, von dem die Einladung ins Clubhouse gekommen ist

Auch weiterhin viel spaß beim festen glauben an den überall lufteleicht und völlig konsekwenzenlos versprochenen schutz eurer persönlichen daten. Die liste wäxt und wäxt und wäxt. Immerhin gibt es diesmal kein extrapaket mit mäjhladressen und telefonnummern zu personen, über die man eine menge aus dem offenen internetz rauskriegen kann, so dass trickbetrüger ein eher geringeres interesse haben werden. Schließlich hat das fratzenbuch ja gerade ein paar hundert milljonen viel leckererer datensätze veröffentlicht.

Dummdatenschleuder des tages

Von den öffentlich einsehbaren daten einer stasiakte zum selberschreiben — gemeint ist heute mal „linkedin“, eine klitsche, die mir in der vergangenheit vor allem durch ihre asozjale spämm aufgefallen ist — kann man gerade eine schöne, maschinell verarbeitbare versjon mit informazjonen von sportlichen 500 milljonen nutzern kaufen. Und diesmal ist nicht etwa „linkedin“ die datenschleuder, nein, alle diese nutzer haben alle diese daten selbst und freiwillig über linkedin ins offene internetz gestellt. Und demnächst, wenn etliche von ihnen auf einen überzeugend vorgetragenen trickbetrug reinfallen — die betrüger sehen ja an den berufen, wo sich so etwas lohnt — wird das gejammer ganz groß sein. Mein mitleid besteht da allerdings nur noch aus schadenfrohem lachen.

Oder, um mich mal selbst zu zitieren:

Der einzig wirksame Datenschutz ist Datenvermeidung. Das heißt auch: Auf Datenpreisgabe gegenüber anderen so oft wie möglich verzichten […] Jede andere Maßnahme außer strikter Datensparsamkeit ist der eigenen Kontrolle enthoben

Das stimmt auch ein jahrzehnt später, also jetzt, noch.

Ist eben dumm, wenn man dumm ist. Und über jeder datensammelnden S/M-webseit sollte ein längst zum sprichwort gewordenes zitat eines gewissen Jesus aus nazaret prangen (Mt.24:28): „Wo das aas ist, da sammeln sich die geier“.

Datenschleuder des tages

„Eventus media international“ hat namen, wohnanschriften, mäjhladressen, geburtsdaten, testdatum und ergebnis des tests von mehreren tausend menschen im internetz veröffentlicht, die einen coronatest gemacht haben [archivversjon]. Es reichte für den zugriff aus, ID-kohds durchzuprobieren. Weitere sicherheitsvorkehrungen gab es nicht. Oder anders gesagt: es war nicht einmal strafbar, da keine besonderen sicherheitsvorkehrungen überwunden werden mussten.

Nicht, dass hier noch jemand glaubt, mit den weit in die privat- und intimsfäre reinreichenden gesundheitsdaten, die irgendwo massenhaft angesammelt werden, würde man irgendwie verantwortungsvoller als mit anderen daten umgehen! Aber nein doch, das würde ja nur innovazjon behindern… oder, um es mit dem PRessesprecher dieser datenschleuder zu sagen:

Dass Hacker trotzdem auf einen Teil der Daten zugreifen konnten, tut uns leid, und wir entschuldigen uns bei den betroffenen Kunden

Ditschitäll first, entschuldigung second. 🤮️

Übrigens, herr PRessesprecher: sie können sich gar nicht entschuldigen. Sie können nur um entschuldigung bitten. Selbst angesichts so einer datenschleuderei labern sie noch wie ein arrogantes arschloch daher! Sie sind widerlich. Gehen sie bitte sterben!

Ich bin mal gespannt, wie hoch das bußgeld nach DSGVO ausfällt. Ob es wieder nur ein paar cent pro betroffenen datensatz werden, oder ob wenigstens beim rumschleudern mit gesundheitsdaten ein etwas härterer maßstab angelegt wird. Oder ist diese DSGVO doch nur dazu da, autokennzeichen zu schützen, während auf den datenschutz von menschen geschissen wird?

Datenschleuder des tages

Heute mal ein richtiges leckerli: das fratzenbuch erzwingt von seinen nutzern ja schon seit längerer zeit die angabe einer telefonnummer, wisst schon, damit das fratzenbuch „sicherer“ wird und das benutzerkonto nicht so leicht gecräckt werden kann. Und jetzt kommt mit lautem rumms die folge dieser „erhöhten sicherheit“ beim fratzenbuch: die zurzeit für werber, gewinnbimmler und trickbetrüger frei zugänglichen daten von sportlichen 533 milljonen [!] fratzenbuch-nutzern bestehen nicht nur aus „den üblichen“ geodaten und profilangaben, sondern beinhalten auch die telefonnummer [link geht auf einen englischsprachigen text]. Da habt ihr euren „verbesserten Datenschutz“ durch noch mehr Datenangabe! Ist doch schön, wenn mal wieder jemand anruft. :mrgreen:

Wenn mich jemand nötigt, eine telefonnummer oder einen skänn eines amtlichen ausweispapieres preiszugeben, bin ich da weg, manchmal sogar noch mit sehr unfreundlichen worten. Noch letzte woche wurde ich deshalb als „paranoid“ bezeichnet. Aber ich vermisse jetzt auch den trost darin, recht gehabt zu haben. Dafür ist der schaden mal wieder viel zu groß. Es gibt nur einen einzigen wirksamen datenschutz, und der besteht in weitestgehender vermeidung der angabe von daten. Insbesondere gilt das bei der angabe von völlig unnötigen daten (geburtstag, geschlecht, telefonnummer, meldeanschrift, religjöses bekenntnis, haarfarbe, penislänge, fingerabdruck usw.), die man wegen irgendwelcher vorwände oder wegen glitsche-glatsche-schlangenölsicherheit angeben soll. Die anmeldung über einen kontonamen und ein gut gewähltes passwort ist seit über sechzig jahren ausreichend. Alles andere ist das vertrauen auf die zusagen eines unsichtbaren gegenübers, und zwar über ein technisches und anonymes medium. Dieses vertrauen kann man natürlich haben, wenn man dumm genug dazu ist. Ich habe es nicht. Und schon gar nicht bei börsennotierten S/M-unternehmen ohne seriöses geschäftsmodell.

(Dass ein händler, bei dem man etwas bestellt hat, eine lieferanschrift benötigt, ist etwas anderes. Ich empfehle, nach abschluss des geschäftes explizit die löschung der daten zu verlangen. Dass mir dieser wunsch gewährt wird, ist übrigens keine gnade, sondern ein recht — und ein halbwegs zivilisierter mensch müsste darum gar nicht erst gebeten werden. Gastronovi ist überall.)

Wer nach diesem kleinen vorfall beim fratzenbuch, der ein zehntel der weltbevölkerung (darunter rd. 6 milljonen menschen aus der BRD) betrifft, immer noch nicht glaubt, dass die angabe unnötiger daten gegenüber irgendwelchen datensammelklitschen das genaue gegenteil von security, privatsfäre und datenschutz ist, sollte einfach mal ein bisschen lesen und klicken: die unerfreuliche liste wäxt und wäxt und wäxt, alle kommen einmal dran. Das ist eine gute lektüre für langweilige stunden im löckchendäunchen.

Ich bin ja mal gespannt, wie hoch das DSGVO-bußgeld für das fratzenbuch ausfallen wird. Oder ist diese DSGVO am ende doch nur dazu da, den datenschutz für autokennzeichen durchzusetzen, nicht den für menschen? Und dazu, privaten mitgestaltern des deutschsprachigen internetzes noch mehr knüppel aus rechtsunwägbarkeiten zwischen die beine zu werfen?

via @benediktg5@twitter.com

Datenschleuder des tages

Name, Adresse, Geburtsdatum, Staatsbürgerschaft, Ausweisnummer, Corona-Testergebnis: Aufgrund einer Sicherheitslücke waren sensible Daten mehrerer Corona-Testzentren in Deutschland und Österreich unzureichend geschützt über das Internet abrufbar. Betroffen sind mehr als 136.000 Covid-19-Testergebnisse von mehr als 80.000 Personen

Nein, für den zugriff auf diese daten brauchte man weder irgendwelche häckertuhls noch vertiefte kenntnisse. Das ging einfach mit dem webbrauser.

Auch weiterhin viel spaß beim festen und tiefgläubigen glauben an den datenschutz bei euren ganz besonders sensiblen gesundheitsdaten, egal, ob euch eure scheißkrankenkasse irgendwelche äpps andrehen will, oder ob euch euer scheißstaat irgendwelche „elektronischen impfnachweise“ andrehen will, die man eigentlich auch gut in preiswerter und garantiert datenschonender papierform auf einem impfpass machen könnte. Die liste wäxt und wäxt und wäxt.