Datenschleuderei des tages

Die „gesundheitsäpps“, die von den krankenkassen finanziert werden, haben so ein paar kleine datenlecks:

Wenn ein Nutzer dieser App sich bisher seine eigenen Daten herunterladen wollte, hätte er die Nummer seiner Nutzer-ID so verändern können, dass er an die E-Mail-Adresse und den Nutzernamen anderer Patientinnen und Patienten gelangt wäre

🤦‍♂️️

Und nein, das ist nicht nur diese eine schnell zusammengestöpselte äpp.

Habt ihr wirklich geglaubt, dass mit gesundheitsdaten besser umgegangen würde als mit anderen persönlichen und intimen daten? Schön weiter ganz feste an den datenschutz glauben, der euch überall lufteleicht und konsekwenzenlos versprochen wird! Die liste wäxt und wäxt und wäxt.

Zum genuss und verdruss hier noch die wunderbar geschriebene kwelle, die mal wieder von den darüber berichtenden contentindustriellen und öffentlich-schrecklichen jornalisten nicht verlinkt wird.

Generell gilt: wenns internetz im händi ist, ists gehirn im arsch.

Datenschleuder des tages

mein-schnelltest.com hat die daten von rd. 400.000 menschen veröffentlicht, die einen corona-schnelltest gemacht haben. Ja, die daten lagen ohne jeden zugriffsschutz im offenen internetz herum. Um an die daten zu kommen, brauchte man keine „häckertuhls“, es reichte ein ganz normaler webbrauser. Die testergebnisse wurden natürlich gleich mitveröffentlicht. Nicht, dass hier noch jemand denkt, sensible medizinische daten stünden unter einem besseren schutz als andere daten.

Kommt aber noch besser: die softwähr für die verwaltung der tests war so offen, dass jeder neue testergebnisse anlegen konnte:

Natürlich nehmen wir zum Ausprobieren eine offensichtlich historische Person, damit das Test-Zertifikat auf keinen Fall missbraucht werden kann. Wir erstellen also einen PCR-Test für Robert Koch. Und wir können zum Glück mitteilen: Sein Testergebnis war negativ – wir wollen uns gar nicht ausmalen, was für ein Risiko eine Coronainfektion für ihn mit seinen 177 Jahren wäre

Bwahahahahaha! 😂️

Mit da-da-digitalen QR-kohd fürs testergebnis, wisst schon, für den bekwemen und sicheren impfnachweis.

Bwahahahahaha! 🤣️

Auch weiterhin ganz viel spaß beim festen glauben an den überall fluffig leicht und völlig konsekwenzenlos zugesagten schutz eurer persönlichen daten! Die liste wäxt und wäxt und wäxt. Autokennzeichen müsste man sein, nicht mensch. Dann würde der datenschutz energisch durchgesetzt… 👍️

Datenschleuder des tages

Hat hier etwa jemand geglaubt, dass mit empfindlich weit in die privat- und intimsfäre reinragenden medizinischen daten sorgfältiger umgegangen wird? Nun, coronapoint belehrt euch eines besseren:

Normalerweise antwortet ein Server auf so eine Anfrage lediglich mit einer kurzen Erfolgsmeldung: “Yay, Problem verstanden, du bekommst eine Mail”. Der Server von Coronapoint ist hier leider etwas gesprächiger und beschreibt sehr ausführlich, was im Hintergrund passiert. Dabei erzählt er auch fröhlich den Inhalt der verschickten Mail – inklusive dem Passwort […] man benötigt gar keinen Zugriff auf den E-Mail-Account, um das Passwort zu bekommen. Es reicht, die E-Mail-Adresse zu kennen, diese in das Formular einzutragen und dann zuzuschauen, was der Server an den Mail-Account schickt […] Der QR-Code ist eine Bilddatei, die sich unter https://e.coronapoint.de/cwa/qrcodes/{Buchungsnnummer}.png abrufen lässt […] lassen sich solche Zahlen einfach herunterzählen […] nach nur zwei Versuchen landen wir auf dem QR-Code einer anderen Person […] Zugriff auf mehr als 88.000 QR-Codes der letzten 20 Tage […] die QR-Codes können noch mehr Daten enthalten als nur ein Test-Hash. Die CWA unterscheidet zwischen namentlichen und anonymen Tests. Bei namentlichen Tests werden neben dem Hash auch eine Test-ID, Vorname, Nachname und Geburtsdatum im QR-Code hinterlegt […] mehr als 53.000 für namentliche Tests – und enthielten somit persönliche Daten […] dass die Passwörter nur 4 Zeichen lang sind und nur aus den Zeichen 0123456789ABCDEF bestehen. Selbst ein alter Laptop kann die 65.536 möglichen Kombinationen in Sekundenbruchteilen durchprobieren […] wird ein Link zusammengebaut, der wie folgt aussieht: https://e.coronapoint.de/pdfs/results/result_{Buchungsnummer}.pdf […] waren dort mehr als 140.000 Testergebnisse abrufbar […] Geschlecht, Name, Adresse, PLZ, Ort , Telefonnummer, E-Mail, Geburtsdatum, Ausweis-Nr. (falls angegeben), Test-Name, Hersteller, Test-Datum, Uhrzeit, Testende Person (Name), Testergebnis

Meine fresse, da will die hand gar nicht mehr aus dem gesicht raus! 🤦‍♂️️

Ich wünsche allen genießern meiner zeit auch weiterhin viel spaß beim festen glauben an den ganz besonderen sonderschutz der persönlichen und medizinischen daten im gesundheitswesen! Müsst ihr ganz feste dran glauben! An die daten kam man übrigens weiterhin, nachdem coronapoint über die fehler informiert wurde und verlautbarte, dass die fehler beseitigt worden. Warum sollten die das auch selbst testen?

Also: immer schön feste an die sorgfalt irgendwelcher datenverarbeitenden scheißklitschen glauben! Die scheißliste wäxt und wäxt und wäxt.

Ach ja:

Auch die Betroffenen hat Coronapoint bisher nicht informiert, dabei sind ihnen diese Lücken seit über einer Woche bekannt

Mal schauen, wie das bußgeld nach DSGVO aussieht… oh, die DSGVO ist nicht geschrieben worden, um solche datenschleudern zur rechenschaft ziehen zu können, sondern nur, um privaten mitgestaltern des internetzes ein paar weitere juristische unwägbarkeiten aufzubürden? Na, dann kann man wohl nix machen, herr datenschutzvermeidungsbeauftrager.

Datenschleuder des tages

Gorillas, so eine lieferklitsche mit äpp (ich würde ja grundsätzlich um alles mit wischofon einen riesenbogen machen), hat die daten seiner fahrer, die daten von 200.000 kunden und einer milljon bestellungen unzureichend geschützt in die „klaut“ gestellt und damit veröffentlicht [archivversjon]. Die veröffentlichten kundendaten waren sowohl für einen identitätsmissbrauch als auch für einen trickbetrug ausreichend.

Ich wünsche auch weiterhin viel spaß beim festen glauben an den überall völlig konsekwenzenlos versprochenen schutz eurer persönlichen daten! Die liste wäxt und wäxt und wäxt.