@zerforschung@chaos.social
@zerforschung@chaos.social avatar

zerforschung

@zerforschung@chaos.social

reverse engineering in progress.

This profile is from a federated server and may be incomplete. Browse more on the original instance.

zerforschung, to random German
@zerforschung@chaos.social avatar

Seit 5 Tagen ist Cannabis legal, ab Juni darf es auch gemeinschaftlich in Cannabis-Social-Clubs angebaut werden 🍃
Bereits jetzt werben die ersten findigen Software-Anbieter um diese Vereine – und der erste hat schon alle Daten verloren.
Was genau passiert ist und warum eigentlich auch das Gesetz Schuld ist:
https://zerforschung.org/posts/canguard/

zerforschung,
@zerforschung@chaos.social avatar

CanGuard ist ein Anbieter solch einer Rundum-Sorglos-Lösung für die Cannabis-Clubs. Neben Social-Club-Features werben sie auch mit Datensicherheit. Trotz diesen Versprechungen haben wir den Dunst der Stunde 💨 genutzt, uns als CSC registriert und nebenbei ein bisschen in die Entwicklungs-Tools unseres Browsers geguckt 👀

zerforschung,
@zerforschung@chaos.social avatar

Dabei fällt uns eine Anfrage an die CanGuard-Server auf, mit der die Mitglieder unseres Clubs abgerufen wurden:

/user/all?club=[CLUB_ID]&invitation=accepted&role=user

Bei einem Endpunkt mit "all" im Namen werden wir immer ein bisschen hellhörig 🔦👂.
Was passiert wohl, wenn man die Filter club, invitation und role einfach wegließe? 🤔
Der einfachste Weg, das herauszufinden, ist es auszuprobieren…

zerforschung,
@zerforschung@chaos.social avatar

😱 Tatsächlich bekommen wir als Antwort eine Liste aller Nutzer*innen, mit Name, E-Mail-Adresse, gehashtem Passwort, Geburtsdatum und Postleitzahl.

Und das war nicht die einzige Lücke, die wir gefunden haben, mehr dazu im Blogpost.

zerforschung,
@zerforschung@chaos.social avatar

@CyberPunker oh, natürlich. danke für den hinweis, ist gefixt.

zerforschung,
@zerforschung@chaos.social avatar

@atarifrosch schau mal fußnote 5 ;)

zerforschung,
@zerforschung@chaos.social avatar

Solch gravierende Lücken müssen schnellstmöglich geschlossen werden. Daher haben wir wie immer einen Report geschrieben und diesen an das Unternehmen, die zuständige Datenschutzbehörde und das CERT-Bund geschickt.

Schnell bekamen wir eine Eingangsbestätigung, doch bis die Lücken wirklich geschlossen waren, brauchte es mehr als eine Woche und mehrere zusätzliche Meldungen von uns. Erst dann entschied CanGuard sich, ihre Software erstmal offline zu nehmen und die Lücken damit sicher zu schließen.

zerforschung,
@zerforschung@chaos.social avatar

Doch hier nur CanGuard die Schuld für das Datenleck zu geben greift zu kurz: Denn dass sie so viel Daten überhaupt sammeln, liegt auch am Gesetz. Nach dem KCanG müssen Anbauvereinigungen viele Daten über ihre Mitglieder erheben: Name, Geburtsjahr, abgegebene Menge, etc.
Diese Daten müssen zudem 5 Jahre aufbewahrt und teilweise sogar an die zuständige Behörde übermittelt werden.

zerforschung,
@zerforschung@chaos.social avatar

Dabei sollte auch bei Cannabis-Clubs sollte Datensparsamkeit gelten und so wenig Daten wie möglich gespeichert werden müssen:
Denn Daten, die gar nicht erst gesammelt und aufbewahrt werden, können auch nicht wegkommen.

So müssten sich 🥦-Connoisseur*innen keine Sorgen um ihre Daten machen und könnten sich auf wichtigere Dinge konzentrieren.

zerforschung,
@zerforschung@chaos.social avatar

Wer die ganze Geschichte mit allen Details (inkl. weiter Lücken und einer genauen Timeline) nachlesen möchten, kann das auf unserem Blog tun: https://zerforschung.org/posts/canguard/

zerforschung,
@zerforschung@chaos.social avatar

Unsere Rechercheergebnisse haben wir mit @daniellaufer und Carla Spangenberg vom rbb geteilt, deren Artikel ihr hier lesen könnt: https://www.tagesschau.de/investigativ/kontraste/cannabis-clubs-daten-100.html

zerforschung, to random
@zerforschung@chaos.social avatar

Exklusiv für alle auf dem :
Heute, Tag 4, 20:30 Uhr machen wir »Ask a zerforschi« – wir versuchen uns daran, die Fragen zu beantworten, die euch seit langem unter den Nägeln brennen. Und es gibt erntefrische Sticker für euch.
Kommt rum: Im Linked Open Data Village, bei den Liegestühlen direkt am Gate 2. https://map.events.ccc.de/camp/2023/map/#20/53.0313223/13.3099644

zerforschung, to random
@zerforschung@chaos.social avatar

Brandmeister*in, wir wissen wo dein Auto steht!
Kennt ihr Rosenbauer? Das ist einer der weltweit größten Hersteller von Feuerwehrfahrzeugen 🚒
Und damit man den Überblick nicht verliert, bieten sie Software an, mit der Feuerwehren ihre Fahrzeuge rund um die Uhr GPS-tracken können.

ein endlos reinzoomendes Satellitenbild

zerforschung,
@zerforschung@chaos.social avatar

Leider hat Rosenbauer in ihrer Software nicht genau geprüft, wer alles auf diese Daten zugreifen kann. So hatten wir plötzlich die Position von mehr als 4300 Fahrzeugen von 356 Brandbekämpfungsorganisationen von Los Angeles bis Tokyo 🌏
Wie es dazu kam und wie Rosenbauer darauf (nicht) reagiert hat, lest ihr hier: https://zerforschung.org/posts/rosenbauer/

zerforschung, to random
@zerforschung@chaos.social avatar

The "Passe France Allemagne", free train tickets for young people from germany and france, were immediately sold out last week. But with a few tricks, you could still get one afterwards. How this was possible, and how we also found a databreach with 245,000 records… 🧵

zerforschung, to random German
@zerforschung@chaos.social avatar

Die deutsch-französischen Freundschaftspässe, kostenlose Zugtickets für junge Menschen, waren letzte Woche sofort vergriffen. Mit technischen Tricks konnte man sich aber weiter registrieren. Wie genau, und wie wir außerdem ein Datenleck mit 245.000 Datensätzen gefunden haben… 🧵

zerforschung,
@zerforschung@chaos.social avatar

Um die deutsch-französische Freundschaft zu feiern, haben sich Bundesverkehrsminister Wissing und sein französischer Kollege Beaune etwas Besonderes ausgedacht:

Je Land 30.000 kostenlose Interrail-Tickets für Reisen in 🇩🇪 und 🇫🇷 für junge Erwachsene zwischen 18 und 27.

Die Tickets waren im Online-Portal schnell vergeben – doch wer ein paar technische Kenntnisse hatte, kam auch nach Ende der Registrierung noch an einen Pass.

Im Video sehen wir, wie zuerst links ein neuer Code generiert wird. Der wird dann rechts in den Browser kopiert, in dem sich daraufhin das Bestellformular des Freundschaftspasses öffnet. Dieses wird ausgefüllt und am Ende sieht man die Bestätigung, dass die Anmeldung für den Freundschaftspass erfolgreich war.

zerforschung,
@zerforschung@chaos.social avatar

Damit nicht genug: Die gleiche Agentur, die den Freundschaftspass umgesetzt hat, hat auch ein ganz ähnliches Projekt für die EU-Kommission entwickelt: DiscoverEU. Dabei können 18-Jährige einen kostenlosen Interrail-Pass gewinnen & Zug durch Europa fahren.

Leider haben wir auch im Portal von DiscoverEU eine Sicherheitslücke gefunden: Über die Plattform standen die Daten von rund 245.000 Registrierungen nahezu ungeschützt im Netz (siehe Screenshot im ersten Toot oben).

GIF: Stoffmaus, die facepalmed

zerforschung,
@zerforschung@chaos.social avatar

Wir waren fassungslos und haben die Schwachstellen natürlich gemeldet. Nach einigen turbulenten Tagen sind die Lücken jetzt gestopft und wir haben die ganze Reise hier aufgeschrieben:
https://zerforschung.org/posts/freundschaftspass-de

zerforschung, to random
@zerforschung@chaos.social avatar

Liebe Menschen, die sich ein Bike mit dem dazugehörigen Schloss gekauft haben: Der richtige Zeitpunkt dieses Schloss mit der Sentinel App zu verknüpfen ist JETZT. Dies ist eine Produktwarnung.

zerforschung, to random
@zerforschung@chaos.social avatar

Heute reden die Verkehrsminister*innen u.a. über Tempolimits – ein heiß umkämpftes Thema, gegen das sich Volker Wissing schon lange wehrt. Zuletzt behauptete er, es gäbe nicht genug Verkehrsschilder 🤪 Doch was weiß das Bundesministerium für Digitales und Verkehr? 🧵

zerforschung,
@zerforschung@chaos.social avatar

Wenn sich Wissing die fehlenden Schilder nicht nur ausgedacht hat, müsste es ja Dokumente dazu geben. Also haben wir beim Ministerium nachgefragt, was dazu bekannt ist.
https://fragdenstaat.de/a/245597/

  • All
  • Subscribed
  • Moderated
  • Favorites
  • megavids
  • InstantRegret
  • magazineikmin
  • thenastyranch
  • modclub
  • everett
  • rosin
  • Youngstown
  • slotface
  • ethstaker
  • mdbf
  • kavyap
  • osvaldo12
  • DreamBathrooms
  • anitta
  • Durango
  • ngwrru68w68
  • tester
  • khanakhh
  • love
  • tacticalgear
  • cubers
  • GTA5RPClips
  • Leos
  • normalnudes
  • provamag3
  • cisconetworking
  • JUstTest
  • All magazines
    •