„Vivy“ des tages

Problembewältigung mit dem texteditor und der ergänzung einer liste — ohne etwas am zustand zu ändern. Willkommen im „datenschutz“ des 21. jahrhunderts! Digital first, bedauern second!

Am heutigen Montagmorgen informierte Vivy seine Kunden nun per Mail über eine Aktualisierung seiner Datenschutzerklärung. Demnach gibt es nun eine Datenschutzerklärung für die eigene Website und eine andere speziell für die App. In der Datenschutzerklärung sind nun die monierten Tracker Mixpanel und Crashlytics aufgeführt […]

Da haben sie schön lange zusammengesessen, und irgendwann kam ihnen die rettende idee: einfach in die datenschutzerklärung reinschreiben, dass externe träcker mit datenhaltung in den USA verwendet werden, und schon ist alles wieder in ordnung. Also juristisch jetzt… und die bleiwüste liest ja zum glück kaum jemand.

Warum die das nicht gleich so gemacht haben, sondern erst einmal auch ihre aufmerksamen kunden mit einem behaupteten datenschutzniewoh verblendeten, dass sie gar nicht erfüllten und auch gar nicht erfüllen wollten, bleibt natürlich das sahnige geheimnis von leuten, die mit einer wischofon-äpp namens „vivy“ gesundheitsdaten für ärzte und krankenkassen einsammeln und auf „cloud“-sörvern von amazon speichern wollten. Und um die äpp zu machen, haben sie halt schnell etwas zusammengestöpselt und alles an träckingbiblioteken dringelassen, was in den komponenten drin war. Instabug zum beispiel, eine bibliotek für die fehlersuche in äpps, die mal eben den gesamten von einer äpp belegten speicher nebst einer genauen dokumentazjon jedes wischers, jedes täpps und jedes geräusches in der umgebung [!!!] in irgendeine „cloud“ hochladen kann. [Sorry, der link geht zu kristian köhntopp bei guhgell doppelplusgut, es wäre mir lieber, der würde noch wie früher sein eigenes blog betreiben.] Hej, sind ja nur gesundheitsdaten, die mit einem schnell zusammengeklöppelten dingens fürs wischfon erfasst werden, was kann da schon schiefgehen?

Wenn ich bei einer krankenkasse krankenversichert wäre, die auch nur versuchen würde, mir mit so einer grundrechtsverachtenden krüppelscheiße zu kommen, würde ich auf der stelle wegen unheilbaren vertrauensverlustes fristlos kündigen und dieser scheißkrankenversicherung meine gesamten kosten in rechnung stellen, die ich wegen dieser durch groben vertrauensbruch verursachten kündigung hätte. Ich glaube nicht, dass die sich unter diesen umständen eine klage trauen würden und bin mir deshalb sicher, dass die spätestens bei zustellung des mahnbescheides zahlen, statt ein gerichtsurteil darüber zu riskieren, ob ein hochladen von gesundheitsdaten auf die sörver von amazon und die verpestung der äpp durch diverse träcker zusammen mit einem verschweigen dieser tatsachen ein schwerer vertrauensbruch ist. Ich bin da — wohl gemerkt: als nichtjurist — sehr optimistisch, dass sich selbst die hamburger dunkelkammer¹ meiner auffassung anschließen würde.

Man kann natürlich auch schweigen, scheiße fressen und darauf warten, dass alles nur immer schlimmer und schlimmer und schlimmer wird…

Nur, wenn man sich den treibern der für dumm gehaltenen herde klar und entschieden entgegenstellt und ihnen nicht recht gibt, indem man sich so dumm verhält, wie sie es erwarten, kann sich die richtung überhaupt ein bisschen ändern. Und der einzige ort, an dem eure antreiber überhaupt noch etwas fühlen, ist das bankkonto, denn wenn sie auch nur minimalen anstand hätten, müsste man so weit gar nicht erst gehen. Ansonsten: viel spaß, ihr lemminge! Oh, guckt mal, die klippe da kommt immer näher!

Nicht daten sind der rohstoff der zukunft, dummheits ists. Sei kein datenbergwerk!

Windohs des tages

Wusstet ihr, dass meikrosoft seit windohs acht eine tastaturwanze in windohs verbaut hat?

Digital Life
Windows spioniert jeden Tastendruck aus, wenn dieses Feature aktiviert ist

[…] Auf meinem PC und in vielen Testfällen beinhaltete WaitList.dat einen Textextrakt jeder Dokumenten- oder Email-Datei im System, selbst wenn die Ursprungsdatei bereits gelöscht worden war […]

Gruß auch an die stadt münchen!

Datenschleuder des tages

Die schweizer steuer-äpp fürs wischofon „steuern59.ch“ hat sämtliche daten aller nutzer ohne zugriffsschutz in eine „cloud“ von amazon gestellt und somit im internetz veröffentlicht. Alle diese auch für kriminelle banden sehr leckeren daten waren auch für technisch eher weniger interessierte zeitgenossen mit frei verfügbarer softwäjhr automatisiert aufzufinden.

Nach Informationen, die heise online exklusiv vorliegen, speicherten die Android- und iOS-Apps dieser Firma alle in der App erhobenen Daten sowie abfotografierte Dokumente beim Cloud-Anbieter Amazon Web Services (AWS). Die Daten in diesem sogenannten AWS Bucket waren für jeden, der ein kostenloses AWS-Konto besitzt, frei einsehbar. Darunter unter anderem die Steuererklärungen und Steuerbescheide, sowie alle abfotografierten Belege wie Lohnabrechnungen, Versicherungsnachweise und Geburts- und Heiratsurkunden hunderter App-Nutzer […] Des Weiteren enthielt der AWS Bucket die Chat-Verläufe der Kunden, in denen diese zum Teil ihre Steuererklärung mit dem Dienstleister besprechen – diese Protokolle waren ebenfalls im Klartext gespeichert

Natürlich waren auch die passwörter der nutzer im klartext gespeichert, dieses gesalzene häsching aus den siebziger jahren kann ja niemand implementieren, wenn er nur ein geschäft mit einer schnell gehäckselten äpp machen will…

Aber sage niemand, dass er nicht vorher gewarnt war! Da steht zwar in den „datenschutzbestimmungen“ für die nutzung dieser scheißäpp…

Die Sicherheit der Nutzer steht an erster Stelle

*kicher!* …dass die sicherheit an erster stelle steht, vermutlich, weil der lügenwerber diese 08/15-formulierung so empfohlen hat, aber da steht auch…

Die Übermittlung von Daten über das Internet ist leider nicht absolut sicher. Die App Steuern59.ch arbeitet mit Dienstleistern und Internetanbietern zusammen, welche angemessene technische und organisatorische Sicherheitsvorkehrungen treffen, um die personenbezogenen Daten der Nutzer zu schützen. Die App Steuern59.ch kann jedoch keine Garantie für die Sicherheit der vom Nutzer übermittelten Daten übernehmen. Jede Datenübertragung erfolgt daher auf eigenes Risiko

…dass die offenbar völlig unseriöse und offen kundenverachtende klitsche, die diese äpp „steuern59.ch“ anbietet, mit allen möglichen, selbstverständlich gegenüber den nutzern ungenannten subunternehmern und subsubunternehmern zusammenarbeitet, jegliche verantwortung für deren datenverarbeitung ablehnt. Was bleibt, ist das „eigene risiko“. Wisst schon, eure sicherheit steht an erster stelle. :mrgreen:

Ich wünsche euch allen auch weiterhin viel spaß beim festen glauben an den überall so leicht und völlig konsekwenzenlos versprochenen schutz eurer persönlichen daten! Die liste wäxt und wäxt und wäxt.

Schutz von gesundheitsdaten des tages

Benutzt hier jemand dieses vivy, das euch einige krankenkassen für euer händi andrehen wollen? Hl. scheiße! Ich würde einer krankenkasse, die mir so eine wanze andrehen will, wegen unheilbaren vertrauensverlustes fristlos kündigen und ihr meinen arbeitsaufwand (kündigen, neue kasse suchen, lauferei) in rechnung stellen. Die PResseerklärung klang da noch ganz anders und ist als vorsätzliche lüge zu betrachten

Die Daten der Nutzer seien sicher […] Bei jeder Datenübertragung gebe es mehrstufige Sicherheitsprozesse und eine Verschlüsselung, für die nur der Versicherte den Schlüssel habe

Außer natürlich bei den daten, die verschlüsselt an guhgell gefunkt werden und von denen das opfer der lügen-PR gar nix mitkriegt:

Auch der Google-Tracker »app-measurement.com« fehlt nicht […] Leider können wir die Daten nicht einsehen, da Google eine zusätzliche Verschlüsselung darüber legt

Gruß auch an Jens Spahn von der scheiß-CDU! Man könnte ihn ja mal fragen, was aus den feuchten träumen von der eGK geworden ist — wenn man von kosten und aufwand einmal absieht.

Nachtrag: bei Mike Kuketz gibt es jetzt auch ein paar weitere erläuterungen.

TLS des tages

Auch, wenn heise das in seiner übelschrift ganz anders formuliert: TLS ist nach wie vor kaputt, es gibt zurzeit zum beispiel einen „hübschen“ angriff über eine lücke in den DNS-sörvern und „jeder“ kann sich zurzeit von CAs TLS-zertifikate für beliebige domäjhns ausstellen lassen. „Beliebige domäjhns“ meint hier: beliebige domäjhns. Zum beispiel eure bank, eure suchmaschine, euer mäjhlanbieter…

Ich wünsche den naiven und vom jornalismus verblödeten menschen dieser welt auch weiterhin viel spaß mit der gefühlten sicherheit durch den blick auf das kleine schlösschen an der adresszeile! Das von zentralen CAs abhängige TLS ist dermaßen im arsch, dass man nicht einmal vertrauen herstellen kann, indem man auf das schlösschen klickt und das zertifikat überprüft. Und wenn sich irgendein dritter in die mitte stellt — zum beispiel eine schadsoftwäjhr, die durchaus auch als addon für den webbrauser implementiert sein kann — ist zum beispiel eine unbemerkbare manipulazjon des an sich verschlüsselten onleinbänkings möglich, während der anwender wie ein gebanntes karnickel auf das sicherheitsverheißende schlösschen gafft und sich sicher fühlt.

Wer immer noch nicht beunruhigt ist, sollte sich mal in seinem webbrauser anschauen, welchen CAs automatisch vertraut wird. Ich persönlich vertraue, wenns drauf ankommt, weder den deutschen telekomikern noch der TÜRKTRUST elektronik sertifika hizmet sağlayıcısı H5 und schon gar nicht der CA 沃通根证书. Von den diversen unternehmen in den USA einmal ganz abgesehen.

„Tolle idee“ des tages

Guhgell hat eine ganz tolle idee für seine als webbrauser getarnte wanze namens krohm: so eine URL einer webseite ist aus anwendersicht ja viel zu kompliziert und unverständlich, das passt gar nicht in unsere trivialisierungsideen, die muss man irgendwie vorm anwender verbergen.

Meine kleine profetie: über diese kleinartige „lösung ohne problem“ werden sich sämtliche phisher und sonstigen kriminellen dieser welt freuen. Endlich gibt es aus nutzersicht keine möglichkeit mehr, zu sehen, wo ein link hinführt oder auf welcher webseit man sich befindet.

Und immer noch…

Und immer noch ist es eine ganz schlechte idee, einen mäjhl-anhang aufzumachen, der nicht vorher explizit und über einen anderen kanal als mäjhl verabredet wurde:

Damit das klappt, müssen die Hacker einem Opfer aber zunächst ihre PowerPool-Malware auf den Computer schieben, die einen Angriff initiiert. Das findet Eset zufolge derzeit über Mails mit Anhang statt. Damit Angreifer einen ersten Schritt auf Computer setzen können, muss ein Opfer erst mal auf eine Betrüger-Mail hereinfallen und den Dateianhang ausführen

Ich bin da ganz schlechter dinge. Die leute fallen immer noch darauf rein, wenn die mäjhl entsprechend formuliert ist; die leute klicken auch immer noch jeden warndialog von windohs ungelesen weg, wenn sie so einen anhang aufmachen. Dettelbach ist überall. 😦

Nein. Das werde ich nicht tun.

Please turn JavaScript on and reload the page. -- DDoS protection by Cloudflare -- Ray ID: 4559c1f69a0d9bff

Wer sich — wie diese von mir nicht benannte webseit — von „cloudflare“ vor DDOS-attacken „schützen“ lässt, lässt sich auch gleichzeitig vor jenen lesern „schützen“, die sich weigern, jeder dahergelaufenen seite in einem anonymisierenden, technischen medium das privileg einzuräumen, javascript im brauser ausführen zu können. Zum beispiel, weil sie wert auf ihre eigene kompjutersicherheit legen. (Praktisch jedes mal in den letzten zehn jahren hatte es etwas mit javascript zu tun, wenn massenhaft kompjuter über den brauser gepwnt wurden; die einzige ausnahme war der ausbeutbare fehler im PDF-anzeiger vom feierfox.) Aber hej, wer auf seiner eigenen webseit für idjoten schreibt, denen alles einschließlich der eigenen kompjutersicherheit scheißegal ist, der kann natürlich dieses tolle „cloudflare“-zeugs darin verbasteln.

Kostenloser bonus von „cloudflare“: deutschsprachige besucher einer deutschsprachigen webseit werden mit einem tollen englischen kürzsttext in der gestaltung einer fehlermeldung beglückt. Das freut doch jeden. Da kommt doch jeder gern zurück. 😀

Aber hauptsache, fläsch ist tot! :mrgreen:

Krohm-addon des tages

Nehmt die addons aus guhgells krohm-store haben sie gesagt. Die sind sicherer, haben sie gesagt.

Wer die Erweiterung des Filehosters Mega für Chrome nutzt, sollte sie zügig deinstallieren. Unbekannte haben die Erweiterung verändert und in eine Art Keylogger verwandelt. Der soll Ausschau nach Zugangsdaten für Amazon-, Github-, Google- und Microsoft-Accounts halten und die eingesammelten Daten an die Hacker senden. Darüber hinaus sollen noch private Schlüssel für Kryptowährungen im Visier der Malware sein. Damit ausgerüstet, könnten Angreifer beispielsweise Bitcoin-Wallets plündern […] Die Version 3.39.5 sei sauber, ist derzeit aber nicht im Chrome Web Store verfügbar

Wir haben das jahr 2018…

…und immer noch gibt es leute, die unter meikrosoft windohs eine EXE-datei ausführen, die ihnen von einem unbekannten gegenüber in einem ZIP-archiv verpackt als mäjhl zugestellt wurde. Das muss man erstmal schaffen: ein ZIP entpacken und dann auch noch eine EXE ausführen (was zu einer deutlich formulierten warnung führt)! Bekommen die leute etwa ihre kompjutergrundkurse von alexa? Was braucht man da noch richtige cräcker?! Es reicht doch, auf die dummheit und den völligen informatik-analfabetismus der menschen in der BRD zu vertrauen, um ein kriminelles geschäftchen zu machen.

Dettelbach ist überall. Lass hirn vom himmel regnen! Oh, die machen ja alle die regenschirme auf… 😦

BRD-leuchtturmprojekt des tages

Betriebsbehindernde Sicherheitslücke bleibt bestehen

Man kann ja einfach eine ehrenwache der von-der-Leyenhaften cyberwehr vor der betriebsbehindernden sicherheitslücke abstellen, die dann die pösen putinhäcker mit cyberkanönchen beschießt. :mrgreen:

Oder man… ähm… sieht das problem einfach als beendet an:

Brak sieht Lücke als behoben an, kann aber nicht erklären, warum

Sag ich doch: problem gelöst, deckel druff, feste hoffen, dass es nicht wieder hervorkriecht. Was kann dabei schon schiefgehen?! :mrgreen:

Und hej, außerdem kann man es mit dem sicheren linux betreiben:

Die Linux-Installation wird offiziell laut Brak nur unter der inzwischen schon über zwei Jahre alten Ubuntu-Version 16.04 unterstützt. Doch ein Test von uns bestätigte, was uns auch ein Anwalt mitteilte: Die Installationsroutine brach unter Ubuntu 16.04 mit einem Absturz ab

Oh, gucke mal, ist der pinguin gestolpert… vielleicht doch besser ein unbuntu 14.04 nehmen? In nur zwei jahren macht das security-technisch eh keinen großen unterschied mehr. 😀

Ach, heise! Wird zeit, dass du stirbst!

So langsam kommst du im BRD-kwantitätsjornalismus an, heise. Wenn jemand eine warnmeldung macht, weil er einen inzwischen gelöschten fiepser beim zwitscherchen gesehen hat, dass es eine nicht näher bekannte sicherheitslücke in meikrosoft windohs gibt, über deren ausbeutbarkeit wohl auch nicht so viel bekannt ist, was machst du dann? Warten, bis näheres aus verlässlichen kwellen bekannt ist? Den veröffentlichten exploit-kohd mal kompilieren und mit ein paar virtuellen windohs-installazjonen gucken, ob er auf verbreiteten windohs-versjonen funkzjoniert (mit einem zeitaufwand von rd. einer viertelstunde)? Vielleicht einen anderen reschersche-versuch? Nein, du machst nix von alledem, heise, du kompjuterbild mit schlips, sondern du veröffentlichst eine schrillklingelnde, feuerrote tatütata-alarmmeldung ohne irgendwelche brauchbaren informazjonen. Wer dann auf diese deine clickbait reinfällt — es soll ja leute geben, die deinen RSS-fiehd lesen, weil sie sich um ein paar kompjüterchen zu kümmern haben — liest darin den gut unter reißerischer übelschrift versteckten satz „Die Schwachstelle gilt nicht als kritisch“. Das ist wirklich schwach.

Was kommt als nächstes? Clickbait-überschriften der marke „Peter öffnete einen JPEG-anhang einer mäjhl und sie werden nicht glauben, was dann geschah“ (er bekam eine erekzjon)? Mann, mann, mann! 😦

Security des tages

Ein BRdeutsches leuchtturmprojekt für lichtallergiker scheint endlich abgeschlossen zu sein; die letzten klitzekleinen sicherheitsmängelchen wurden nach bestbananiger BRDDR-metode durch feierliches wegsprechen der probleme bereinigt:

Auch wenn keineswegs alle bekannten Sicherheitslücken geschlossen sind, erklärt die BRAK das besondere elektronische Anwaltspostfach (beA) für sicher

„Ich erkläre das sogenante sicherheitsproblem für erledigt. Weitere einzelheiten würden die nutzer nur beunruhigen“. Cyber cyber! Gruß auch an die fiesen russischen häcker! :mrgreen:

Security des tages

Äpple-softwäjhr ist viel besser und sicherer als windohs-softwäjhr.

Mit einer manipulierten E-Mail sei es möglich, die Mac-App sogar dazu zu bringen, die Datenbank mit allen E-Mails des Nutzers an einen Angreifer zu verschicken

Und, wie kommt es dazu?

Das Problem bestehe darin, dass Airmail per Aufruf eines URL-Schemas eine E-Mail mit bestimmten Inhalt sowie Anhang automatisiert – und ohne Nutzerbestätigung – verschicken kann

Warum, zum hackenden henker, warum? Welches problem wird mit diesem tollen funkzjonsmerkmal — neben dem gewinn eines von äppel verliehenen dieseinpreises — gelöst? Mir fällt beim besten willen keines ein. Außer vielleicht, dass man leichter kettenbriefe realisieren kann.

Aber hej, die oberfläche sieht geil aus, und das reicht dem äppel-verstahlten dummnutzer aus der generazjon teletubbie.

Security des tages

Linux ist ja viel sichererer als alles andere. Benutzt hier jemand ghostscript (also zum beispiel den PDF-import von gimp)?

Ich hoffe ja immer noch, dass die menschheit noch einmal bemerkt, dass überkomplexe dokumentenformate generell keine gute idee sind und zu text/plain oder meinetwegen text/html ohne aktiven kohd (also ohne javascript) zurückkehrt. Aber die menschheit ist leider dumm wie scheiße.