Datenschutz des tages

Na, glaubt hier noch jemand an den ganz besonderen schutz von hochempfindlichen und tief in die intimsfäre hineinragenden gesundheitsdaten? Ganz schön blöd, daran zu glauben, wenn selbst das BRD-parteienstaatsfernsehen in der tagesschau erzählt, dass das eher so eine „freiwillige selbstverpflichtung“ ist [archivversjon]:

Aber muss eine Firma, die eine Software herstellt, bei der Ärztinnen und Ärzte Gesundheitsdaten speichern und über die sie mit Patientinnen und Patienten kommunizieren, die Datensicherheit nicht überprüfen lassen? Betrifft keines der vielen Zertifikate, die zum Beispiel die Kassenärztliche Bundesvereinigung (KBV) der Software von DocCirrus ausgestellt hat, den Datenschutz? Nein, teilt die KBV auf Anfrage mit, „die IT-Sicherheit der einzelnen Praxisverwaltungssysteme liegt in den Händen der jeweiligen Anbieter.“ Der Sprecher des Bundesdatenschutzbeauftragten, Christof Stein, erklärt: „Tatsächlich hat ein Softwarehersteller keine Verpflichtung, seine Software in irgendeiner Art und Weise datenschutzkonform auszugestalten.“ Das gelte auch für Software, die sensible Daten verarbeite. Verantwortlich ist seinen Angaben zufolge letztlich die Arztpraxis

Der von der sich voll investigativ und jornalistisch gebenden ARD-scheißtagesschau des BRD-parteienstaatsfunks auf ihrer webseit sicherlich nur versehentlich nicht verlinkte artikel von zerforschung ist übrigens hier. So weit digitalisiert, dass die tagesschau auch mal einen link setzen kann, sind wir leider noch nicht, sondern nur so weit, dass die gesundheitsdaten von menschen fröhlich rausgeschleudert werden. Und wie die rausgeschleudert werden! Das fängt schon bei den dingen an, die gar keine fehler sind, sondern offenbar so beabsichtigt waren.

es lädt auf jeder Seite Google Maps? #yolo

Na gut, macht man heute so… 🤦‍♂️️

Sie leaken die SMTP-Zugangsdaten der Arztpraxis oh boi oh boi oh shit
Damit könnte man bestimmt auch E-Mails abrufen

Passwörter im klartext einfach über die API als JSON mitgesendet! Wozu? Ach, scheißegal, das sieht man ja nicht, wenn man die webseit sieht, das wird also niemand jemals für irgendwas (zum beispiel phishing-attacken oder einen betrug) missbrauchen. 😱️

Aber keine sorge, der datenschutz wird ja immerhin versprochen:

DocCirrus wirbt damit, dass die Patient*innen-Daten und Dokumente nicht zentral bei ihnen gespeichert werden, sondern nur in der Praxis – auf einem kleinen Server, den sie den Arztpraxen als “Datensafe” verkaufen. Dieser ist auch erstmal absichtlich nicht “von außen” erreichbar […] Die Liste der Dokumente mit IDs und Abruf-Links wird verschlüsselt übertragen. Rufen wir ein Dokument ab, sehen wir dann aber: Die Dokumente selbst werden gar nicht Ende-zu-Ende-verschlüsselt übertragen, anders als DocCirrus das behauptet. Damit die Liste verschlüsselt werden kann, sendet der Browser mit, an wen verschlüsselt werden soll. Ganz naiv probieren wir aus, was passiert, wenn wir diese Information weglassen. Wir hätten erwartet, dass der Server hier einen Fehler anzeigt und wir nicht weiter kommen – doch stattdessen wird die Anfrage einfach beantwortet. Unverschlüsselt.

Lest selbst bei zerforschung [archivversjon] weiter, es wird immer schlimmer. Das ist der ganz besondere datenschutz für eure hochempfindlichen gesundheitsdaten, sichergestellt durch freiwillige selbstverpflichtung.

Hl. hölle! So schade, dass hier in der scheiß-BRD der „datenschutz“ für autokennzeichen und für koordinaten und zeiteinblendungen in däschkäm-videos wirksamer und würgsamer durchgesetzt wird als der datenschutz für menschen! 🤮️

Aber an irgendwas muss man ja merken, dass unsere herrschenden und besitzenden den datenschutz nicht als ein menschenrecht ansehen und durchsezen, sondern nur als ein instrument zur weitgehenden verhinderung der persönlichen nutzung des internetzes.

Und ansonsten: immer schön überall datennackig machen und ganz fest an den überall lufteleicht und völlig konsekwenzenlos versprochenen schutz eurer persönlichen daten glauben! In zweifelsfall darf dann der arzt das bußgeld nach DSGVO bezahlen, wenn er ohne vertiefte kompjuter-fachkenntnisse (so ein arzt hat wahrlich genug spezjalkenntnisse lernen müssen) den hochglanzbuntgedruckten zusicherungen irgendwelcher halbseidener softwäjhrklitschen zu ihrer überkomplex zusammengestöpselten und deshalb nicht ganz so robusten frickelscheiße (mit mindestens achtzig prozent funkzjonsmerkmalen für obskure anwendungsfälle, die niemand vermisste, wenn sie gar nicht da wären) geglaubt hat. Kennt ihr ja, wie das läuft: ditschitäll first, bedauern second.

Ihr habt ja alle nix zu verbergen… also drauf geschissen auf die endlose datenschleuderei! Bitte freimachen!

Wenn jornalisten euch über kompjutersicherheit und privatsfäre „aufklären“

Dem Bericht fehlt technische Tiefe und sinnvolle Informationen. Hier wurden großteils Ausgaben automatischer Tools unhinterfragt wiedergekäut. Das macht noch keine Analyse. Diese Tools liefern nur Hinweise, welche Stellen man genauer anschauen sollte

Aber keine sorge, das wird den contentindustriellen apparat nicht daran hindern, die gleichermaßen große, substanzlose und clickbäjhtträchtige alarmmeldung des ehemaligen nachrichtenmagazines wiederzukäuen und mit reklame zu umpflastern.

Datenschleuderei des tages

Die „gesundheitsäpps“, die von den krankenkassen finanziert werden, haben so ein paar kleine datenlecks:

Wenn ein Nutzer dieser App sich bisher seine eigenen Daten herunterladen wollte, hätte er die Nummer seiner Nutzer-ID so verändern können, dass er an die E-Mail-Adresse und den Nutzernamen anderer Patientinnen und Patienten gelangt wäre

🤦‍♂️️

Und nein, das ist nicht nur diese eine schnell zusammengestöpselte äpp.

Habt ihr wirklich geglaubt, dass mit gesundheitsdaten besser umgegangen würde als mit anderen persönlichen und intimen daten? Schön weiter ganz feste an den datenschutz glauben, der euch überall lufteleicht und konsekwenzenlos versprochen wird! Die liste wäxt und wäxt und wäxt.

Zum genuss und verdruss hier noch die wunderbar geschriebene kwelle, die mal wieder von den darüber berichtenden contentindustriellen und öffentlich-schrecklichen jornalisten nicht verlinkt wird.

Generell gilt: wenns internetz im händi ist, ists gehirn im arsch.

Datenschleuder des tages

mein-schnelltest.com hat die daten von rd. 400.000 menschen veröffentlicht, die einen corona-schnelltest gemacht haben. Ja, die daten lagen ohne jeden zugriffsschutz im offenen internetz herum. Um an die daten zu kommen, brauchte man keine „häckertuhls“, es reichte ein ganz normaler webbrauser. Die testergebnisse wurden natürlich gleich mitveröffentlicht. Nicht, dass hier noch jemand denkt, sensible medizinische daten stünden unter einem besseren schutz als andere daten.

Kommt aber noch besser: die softwähr für die verwaltung der tests war so offen, dass jeder neue testergebnisse anlegen konnte:

Natürlich nehmen wir zum Ausprobieren eine offensichtlich historische Person, damit das Test-Zertifikat auf keinen Fall missbraucht werden kann. Wir erstellen also einen PCR-Test für Robert Koch. Und wir können zum Glück mitteilen: Sein Testergebnis war negativ – wir wollen uns gar nicht ausmalen, was für ein Risiko eine Coronainfektion für ihn mit seinen 177 Jahren wäre

Bwahahahahaha! 😂️

Mit da-da-digitalen QR-kohd fürs testergebnis, wisst schon, für den bekwemen und sicheren impfnachweis.

Bwahahahahaha! 🤣️

Auch weiterhin ganz viel spaß beim festen glauben an den überall fluffig leicht und völlig konsekwenzenlos zugesagten schutz eurer persönlichen daten! Die liste wäxt und wäxt und wäxt. Autokennzeichen müsste man sein, nicht mensch. Dann würde der datenschutz energisch durchgesetzt… 👍️

Datenschleuder des tages

Hat hier etwa jemand geglaubt, dass mit empfindlich weit in die privat- und intimsfäre reinragenden medizinischen daten sorgfältiger umgegangen wird? Nun, coronapoint belehrt euch eines besseren:

Normalerweise antwortet ein Server auf so eine Anfrage lediglich mit einer kurzen Erfolgsmeldung: “Yay, Problem verstanden, du bekommst eine Mail”. Der Server von Coronapoint ist hier leider etwas gesprächiger und beschreibt sehr ausführlich, was im Hintergrund passiert. Dabei erzählt er auch fröhlich den Inhalt der verschickten Mail – inklusive dem Passwort […] man benötigt gar keinen Zugriff auf den E-Mail-Account, um das Passwort zu bekommen. Es reicht, die E-Mail-Adresse zu kennen, diese in das Formular einzutragen und dann zuzuschauen, was der Server an den Mail-Account schickt […] Der QR-Code ist eine Bilddatei, die sich unter https://e.coronapoint.de/cwa/qrcodes/{Buchungsnnummer}.png abrufen lässt […] lassen sich solche Zahlen einfach herunterzählen […] nach nur zwei Versuchen landen wir auf dem QR-Code einer anderen Person […] Zugriff auf mehr als 88.000 QR-Codes der letzten 20 Tage […] die QR-Codes können noch mehr Daten enthalten als nur ein Test-Hash. Die CWA unterscheidet zwischen namentlichen und anonymen Tests. Bei namentlichen Tests werden neben dem Hash auch eine Test-ID, Vorname, Nachname und Geburtsdatum im QR-Code hinterlegt […] mehr als 53.000 für namentliche Tests – und enthielten somit persönliche Daten […] dass die Passwörter nur 4 Zeichen lang sind und nur aus den Zeichen 0123456789ABCDEF bestehen. Selbst ein alter Laptop kann die 65.536 möglichen Kombinationen in Sekundenbruchteilen durchprobieren […] wird ein Link zusammengebaut, der wie folgt aussieht: https://e.coronapoint.de/pdfs/results/result_{Buchungsnummer}.pdf […] waren dort mehr als 140.000 Testergebnisse abrufbar […] Geschlecht, Name, Adresse, PLZ, Ort , Telefonnummer, E-Mail, Geburtsdatum, Ausweis-Nr. (falls angegeben), Test-Name, Hersteller, Test-Datum, Uhrzeit, Testende Person (Name), Testergebnis

Meine fresse, da will die hand gar nicht mehr aus dem gesicht raus! 🤦‍♂️️

Ich wünsche allen genießern meiner zeit auch weiterhin viel spaß beim festen glauben an den ganz besonderen sonderschutz der persönlichen und medizinischen daten im gesundheitswesen! Müsst ihr ganz feste dran glauben! An die daten kam man übrigens weiterhin, nachdem coronapoint über die fehler informiert wurde und verlautbarte, dass die fehler beseitigt worden. Warum sollten die das auch selbst testen?

Also: immer schön feste an die sorgfalt irgendwelcher datenverarbeitenden scheißklitschen glauben! Die scheißliste wäxt und wäxt und wäxt.

Ach ja:

Auch die Betroffenen hat Coronapoint bisher nicht informiert, dabei sind ihnen diese Lücken seit über einer Woche bekannt

Mal schauen, wie das bußgeld nach DSGVO aussieht… oh, die DSGVO ist nicht geschrieben worden, um solche datenschleudern zur rechenschaft ziehen zu können, sondern nur, um privaten mitgestaltern des internetzes ein paar weitere juristische unwägbarkeiten aufzubürden? Na, dann kann man wohl nix machen, herr datenschutzvermeidungsbeauftrager.

Datenschleuder des tages

Gorillas, so eine lieferklitsche mit äpp (ich würde ja grundsätzlich um alles mit wischofon einen riesenbogen machen), hat die daten seiner fahrer, die daten von 200.000 kunden und einer milljon bestellungen unzureichend geschützt in die „klaut“ gestellt und damit veröffentlicht [archivversjon]. Die veröffentlichten kundendaten waren sowohl für einen identitätsmissbrauch als auch für einen trickbetrug ausreichend.

Ich wünsche auch weiterhin viel spaß beim festen glauben an den überall völlig konsekwenzenlos versprochenen schutz eurer persönlichen daten! Die liste wäxt und wäxt und wäxt.