Gleich am 8.3. waren Menschen vom Berliner Zerforschungsteam beim neuen kostenlosen Schnelltest vom Senat. Dafür muss man sich in einer WebApp mit Namen, Adresse, Telefonnummer und E-Mail-Adresse registrieren. Dann eskalierte alles - ein Thread 🧵
Die Seite kam uns schon bei der Registrierung komisch vor, aber das Testergebnis war pünktlich 15 Minuten nach dem Test da. Es lässt sich sogar ein hübsches PDF mit Testergebnis & persönlichen Daten runterladen. Doch kaum zuhause siegte die Neugier: Wir schauen etwas genauer rein
Interessiert wie immer schauen wir natürlich zuerst in den Datenverkehr. Abgerufen wird das PDF über eine API, die mit der Test-ID aufgerufen wird. Als Ergebnis erhalten wir ein JSON, welches eine Data-URI mit dem PDF enthält 🧐 Screenshot der Browser-Devtools mit Datenverkehr beim Aufruf
Was passiert eigentlich, wenn wir diese Schnelltest-ID einmal nach unten zählen? Fuuu😱 Der komplette Schnelltest-Ergebnisbericht eines anderen Menschen kommt uns entgegen.
Ein klassisches Problem, diese Art von Datenunfall gibt es immer noch zu oft. Aber es blieb nicht nur dabei
Dies war dann der Moment, an dem wir uns sehr schnell an Menschen bei @chaosupdates gewandt haben & die Lücken an das @certbund eskalierten. Mehr zur Schnelltest-Story und den Dingen die wir noch fanden in mehreren Akten auf dem Blog. Zur Vorstellung: zerforschung.org/posts/medicus
Hier findet ihr einen Artikel des rbb über die Lücke:
Hier geht es zum Artikel vom Standard
Und hier von der Süddeutschen Zeitung:
Die Veröffentlichung von Epicenter Works und CCC findet ihr hier: epicenter.works/content/136000… und hier: ccc.de/de/updates/202…
Und auch sonst läufts UI-mäßig
Das sagte 21dx vor 2 Monaten:

(Quelle: )
Für diese Qualitätssoftware zahlt der Berliner Senat übrigend 1,8 MILLIONEN EURO PRO MONAT. Das und noch viel erschreckendes zu 21Dx hat der @rbb24 herausgefunden: 🤯

rbb24.de/wirtschaft/the…

• • •

Missing some Tweet in this thread? You can try to force a refresh
 

Keep Current with zerforschung

zerforschung Profile picture

Stay in touch and get notified when new unrolls are available from this author!

Read all threads

This Thread may be Removed Anytime!

PDF

Twitter may remove this content at anytime! Save it as PDF for later use!

Try unrolling a thread yourself!

how to unroll video
  1. Follow @ThreadReaderApp to mention us!

  2. From a Twitter thread mention us with a keyword "unroll"
@threadreaderapp unroll

Practice here first or read more on our help page!

More from @zerforschung

6 Mar
Uns haben in letzter Zeit einige Anfragen zur Sicherheit der Luca App erreicht. Hier ein paar Punkte, warum wir uns die App nicht genauer anschauen (können und wollen) 🧵
Solange eine App nicht Open Source ist, können wir immer nur einen groben Blick darauf werfen. 🧑‍💻 Manchmal fallen bei solch einem groben Blick schon Dinge auseinander.
Wir könnten in solch einem Fall sagen, dass es ein Problem gibt. Umgekehrt heißt es aber nicht, dass das System sicher ist, wenn wir nichts finden.
Read 12 tweets
28 Feb
🧵 Thread 🧵

Gestern wurde bekannt gegeben dass ab morgen Einreisenden bei der Einreise eine SMS gesendet wird um sie über die Corona-Regeln zu informieren.

Wir haben privat schon ein bisschen Witze gemacht, dass die SMS sicher nur einen Link auf eine Website enthält …
Heute haben wir dann den vollständigen Text dieser SMS gefunden ( bundesgesundheitsministerium.de/presse/pressem… ) und was sollen wir sagen… Bingo! Die Bundesregierung: Willkommen/Welcome! Bitte beachten Sie
Was als erstes Auffällt: es enthält wirklich gar keine Informationen sondern nur den Link und klingt genau wie die schlechten NINA Warnmeldungen. Kommunikation können die! Beispiel für lange, schlechte NINA-Warnmeldungen die vor de
Read 37 tweets
27 Jan
Heute sind wir ganz am Zeitgeist und schauen uns das Sprachi-Netzwerk Clubhouse an. Es gab bereits einige Kritik am Datenschutz (tagesschau.de/wirtschaft/clu…) und Exklusivität.
Der Großteil des Kontakt zum Server wird über eine REST-Api abgewickelt. Hier ist Clubhouse wiederspänstiger als viele andere Apps und implementiert Certificate Pinning. Dann holen wir mal das gejailbreakte Telefon heraus.
Sobald man einen Raum startet verbindet sich die Clubhouse-App mit zwei weiteren Diensten: Pubnub und Agora. Pubnub wird für die Echtzeitkommunkation genutzt, Agora für den Audiochat. Screenshot eines Mitschnitt...
Read 18 tweets
5 Oct 20
„Lass mich mal eben nachgucken was für eine GPU das in diesem 50 Zoll Fernseher genau ist… Ah natürlich.“

*bindet sich Fernseher um Arm* Screenshot ARM-Website: &qu...
Außerdem behauptet die Javascript Battery API auch der Akku des Fernsehers wäre im Zustand "charging"
So sieht bei uns übrigens coronakonformes Remote-zerforschen von Fernsehgeräten aus. Sein Stativ mit einem Telef...
Read 37 tweets

Did Thread Reader help you today?

Support us! We are indie developers!


This site is made by just two indie developers on a laptop doing marketing, support and development! Read more about the story.

Become a Premium Member ($3/month or $30/year) and get exclusive features!

Become Premium

Too expensive? Make a small donation by buying us coffee ($5) or help with server cost ($10)

Donate via Paypal Become our Patreon

Thank you for your support!

Follow Us on Twitter!