#LucaFail in 3 Akten:
1) Zoo Osnabrück mit nur 1 Luca Code am Eingang für >20 Hektar (Foto im Netz)
2) @janboehm checkt mit dem Foto nachts vom Berliner Sofa im Osnbr Zoo ein
3) 110 weitere Menschen checken sich nachts im Zoo Osnbr. ein (@Street_Dogg programmiert Zähltool)
/1
1) Zoo Osnabrück mit nur 1 Luca Code am Eingang für >20 Hektar (Foto im Netz)
2) @janboehm checkt mit dem Foto nachts vom Berliner Sofa im Osnbr Zoo ein
3) 110 weitere Menschen checken sich nachts im Zoo Osnbr. ein (@Street_Dogg programmiert Zähltool)
/1
Die Links:
Akt 1) QR Foto vom Zoo Osnabrück im Netz:
Das Problem ist nicht nur das Foto auf Social Media u seine Nutzbarkeit, sondern die Behauptung des Zoos, dass es mit Luca mehr Sicherheit gäbe. Weil das Gesundheitsamt weiss, wer gleichzeitig auf ü. 20 Hektar war? 🙈
/2
Akt 1) QR Foto vom Zoo Osnabrück im Netz:
Das Problem ist nicht nur das Foto auf Social Media u seine Nutzbarkeit, sondern die Behauptung des Zoos, dass es mit Luca mehr Sicherheit gäbe. Weil das Gesundheitsamt weiss, wer gleichzeitig auf ü. 20 Hektar war? 🙈
/2
https://twitter.com/parkrocker/status/1379530861301932032
Link zu Akt 2)
@janboehm checkt sich nachts unter falschem Namen im weit entfernten Zoo Osnabrück ein:
/3
@janboehm checkt sich nachts unter falschem Namen im weit entfernten Zoo Osnabrück ein:
/3
https://twitter.com/janboehm/status/1379564653060227072
Link zu Akt 3):
über 100 weitere Menschen checken von irgendwoher nachts im Zoo Osnabrück ein. Ja, die Zahlen sind zugänglich für jeden (🙈) u hier gibts das Tool von @Street_Dogg, das sie visualisiert: thingspeak.com/channels/13144…. #LucaApp #LucaFail
über 100 weitere Menschen checken von irgendwoher nachts im Zoo Osnabrück ein. Ja, die Zahlen sind zugänglich für jeden (🙈) u hier gibts das Tool von @Street_Dogg, das sie visualisiert: thingspeak.com/channels/13144…. #LucaApp #LucaFail
Übrigens gibts offenbar in ganz Deutschland sinnlose Luca QR Codes für riesige Flächen, deren Check-In Daten zu 100% wertlos für ein Gesundheitsamt sein dürften, neben dem MaxiPark in Hamm (ü 20 Hektar) auch die Modellstadt Rostock mit 56 Hektar. #LucaApp #LucaFail /5
https://twitter.com/kai_budde/status/1379668179681734657
Hier der Link zum Thema 22 Hektar MaxiPark in Hamm. Bemerkenswert: #Smudo feiert den dortigen Einsatz der #LucaApp, obwohl er wissen muss, dass sie dort ein #LucaFail ist, weil die Check-In Daten wertlos sind. /6
https://twitter.com/sand2drn/status/1377134335120220170
Gute Frage: wie checkt man sich eigentlich aus einem Ort aus? Laut #LucaApp Werbung kann man selbst manuell auschecken oder per eingeschalteter Ortungsfunktion automatisch auschecken, wenn man sich von der Location entfernt. Gucken wir uns das mal an: /7
Mit #LucaApp Schlüsselanhänger kann man selbst gar nicht auschecken (oops!). Selbst der Betreiber der Location kann nur alle Nutzer:innen von Schlüsselanhängern gleichzeitig auschecken. Man kann zB 10 Uhr früh den Zoo verlassen haben, ist aber bis zur Schließzeit eingebucht. /8
Bei Android Handys geht der automatische Check-out überhaupt noch nicht - darauf weisen die #LucaApp Werber jedoch nicht hin (oder hab ich was übersehen? (via @sand2drn) #LucaFail
/9
/9
https://twitter.com/DanielLuecking/status/1377282232122023941
Mir stellt sich die Frage, wie denn ein autom. Checkout bei großen Locations mit unregelmäßiger Fläche überhaupt funktionieren soll? Kein Zoo dürfte die Form eines Kreises haben, aber der "Geofence" für automatischen Check-out per #LucaApp ist ein Radius um 1 Adresse herum 🧐 /10
Nehmen wir den vor allem nachts sehr beliebten Zoo Osnabrück, wo hat da der Betreiber wohl den Mittelpunkt des Check-out Radius gesetzt? Am Eingang? Am Ausgang? Gibts eigtl mehrere Ausgänge? In der geografischen Mitte des Zoos? Und mit welchem (riesigen?) Radius? #LucaApp /11
Die Frage hat @frank_grimm beantwortet: Der Zoo Osnabrück hat seine Adresse (vermutl. Haupteingang) als Messpunkt für das automatische Checkout, mit Radius 500m. Allerdings ist das Gelände viel größer, siehe Karte. Link zum #LucaApp Eintrag Zoo Osnbr: app.luca-app.de/api/v3/locatio… /12
Update: der Zoo Osnabrück hat erst alle Besucher:innen heute früh ausgecheckt u dann seine #LucaApp Location anscheinend (vorrübergehend?) gelöscht, Schnittstelle "not found":
#LucaFail /13
https://twitter.com/street_dogg/status/1379696730191634433?s=21
#LucaFail /13
Der @ennolenze hat zu Testzwecken ein privates Meeting per #LucaApp eingerichtet. Er hatte bald danach über 100.000 🔥 Check-Ins. Alle mit "verifizierten Daten", u.a. hatten sich "Polizei" und "Penis" eingecheckt. #Lucafail Link zu Ennos Ausgangstweet:
https://twitter.com/ennolenze/status/1379726316153548801?s=21/14
This escalated quickly: fast eine Drittel Million Gäste kann @ennolenze nach 3.5 Stunden in seinem privaten #LucaApp Test-Meeting begrüßen. Ich wußte nicht, dass Enno in einem Palast wohnt, der Platz für so viele Menschen hat! 😱 #LucaFail /15
https://twitter.com/ennolenze/status/1379780364332335105
Ennos Experiment wurde nach über 600.000 privaten Check-Ins offenbar von den #LucaApp Leuten beendet. Da hatte sich seine App schon aufgehängt. Mit einem sogenannten Rate Limit (zB für max. Anzahl Check-ins) hätte man das leicht verhindern können... cc @ennolenze #LucaFail /16
Hier ist ein Link zu meinem Interview rund um #LucaApp u #CoronaWarnApp beim RBB vom 10.4.21 verlinkt, zu dem ich nachfolgend den Einspieler vor dem eigentlichen Interview kommentieren möchte (also erst 6 min Video gucken, dann weiterlesen 😎) ⬇️ /16
https://twitter.com/anked/status/1381282049567432706
Im Einspieler wird gezeigt, wie die #LucaApp in Cottbus in einer Park Bimmelbahn genutzt wird. Jeder Wagon hat einen eigenen QR Code. Nun bewegt sich allerdings der Wagen u wie auch bei Bussen mit Luca Code frage ich mich, wie da das Check-Out eigentlich funktioniert. /17
viele #LucaApp Kunden haben automatisches Check-out aktiviert, das geht bei Android zwar nicht, aber bei iOS. Automatisches Check-out setzt voraus, dass man sich geographisch vom QR-Code entfernt, wie weit das sein muss für einen Check out, kann die Location festlegen. /18
Das setzt voraus, dass der QR-Code auch eine bestimmte Ortskoordinate hat, also ein Punkt auf einer Karte ist. Der Check-out erfolgt, wenn man den festgelegten Radius um diesen Punkt herum verlässt. Wo soll dieser Punkt sein, wenn sich der QR-Code samt Wagon bewegt? /19
es gibt 2 Möglichkeiten: 1. dem QR-Code auf beweglichen Dingen wie Bus o Bahn ist kein Ortsbezug zugeordnet, dann geht automatischer Check out gar nicht, weil das #LucaApp System ja gar nicht feststellen kann, ob man irgendeinen Radius verlässt. /20
2. Möglichkeit: dem QR-Code auf beweglichen Dingen (Bus o Bahn) ist irgendein Ortsbezug zugeordnet, zB die Start-Haltestelle, dann checkt sich aber jeder Fahrgast automatisch aus, sowie Bus/ Bahn den festgelegten Radius für autom. Checkout verlassen - also bald nach Abfahrt. /21
es ist also offensichtlich, dass automatischer Check out mit einem #LucaApp QR-Code auf beweglichen Dingen wie Bussen u Bahnen nicht funktioniert. Folglich muss man manuell auschecken. Aber wer sagt das den Fahrgästen? und wie viele machen das wohl? /22
wer sich nicht manuell auscheckt, bleibt offensichtlich im #LucaApp System, u fährt vielleicht für immer Bimmelbahn in den Luca-Daten, falls nicht nach 24 Stunden ein Check out durch das App System erfolgt. Die Daten für das Gesundheitsamt dürften sinnlos sein. #LucaFail /23
was glaubt ihr, wie viele Leute checken sich in der Rushhour beim Aussteigen aus einem ÖPNV Bus hintereinander manuell aus mit ihrem Handy? 3 % oder 5%? Mehr bestimmt nicht. Der Rest wurde entw. schon nach der Abfahrt autom. ausgecheckt o fährt im #LucaApp System ewig Bus. 🙈 /24
Dass beim RBB für die Stadt Cottbus ausgerechnet #LucaApp Codes auf einer Bimmelbahn beworben wurden, zeigt wie wenig das Luca System verstanden wird. Viele Anwendungsfälle sind dadurch komplett sinnlos, so wie 1 einziger Luca QR-Code am Eingang eines riesigen Zoos. #lucafail /25
Und schwups konnte man sich durch meine Fotos von der Cottbuser Bimmelbahn auch aus 600km Entfernung dort per #LucaApp einchecken: /26
https://twitter.com/RealitySeparate/status/1381290192993202177
Und @Street_Dogg fand die Einträge im Luca System zur Cottbuser Bimmelbahn:
Man hat tatsächlich die bewegliche Bahn mit einer festen Adresse in der #LucaApp hinterlegt: Elias Park 2 in Cottbus. Nach Abfahrt wird man trotzdem nicht gleich automatisch ausgecheckt, denn 🥁... /27
Man hat tatsächlich die bewegliche Bahn mit einer festen Adresse in der #LucaApp hinterlegt: Elias Park 2 in Cottbus. Nach Abfahrt wird man trotzdem nicht gleich automatisch ausgecheckt, denn 🥁... /27
https://twitter.com/Street_Dogg/status/1381340113070874629
... man war so "clever", um die feste Adresse der Cottbuser Bimmelbahn 2.200 Meter (!!!) Radius für den autom. Checkout aus d #LucaApp einzustellen. Wer sich also nach d Aussteigen auf einer 15 Quadrat-Km großen Fläche des Cottbuser Stadtgebiets bewegt, bleibt eingecheckt 🙈 /28
In Cottbus freut man sich laut @rbb24, dass schon jeder 2. Bimmelbahn-Nutzer in Cottbus mit #LucaApp eincheckt. Aber hat der lobende Stadtsprecher auch mal sein Gesundheitsamt gefragt, was es mit den dabei entstehenden sinnlosen Daten anfangen soll? #lucafail /29
Immer wieder sehe ich Beispiele für extrem dilettantische Programmierung der #LucaApp. Ich frage mich wirklich, wie man dort so viele Basics versemmeln kann. Hier ein Bsp, wo sie nicht mal das Format für ein Tel.-Nr. Feld vernünftig programmiert haben 🙈 #lucafail /30 ⬇️
https://twitter.com/parkrocker/status/1381564746462289921
mind. 100.000 #LucaApp Schlüsselanhänger sind im Umlauf. Die gravierende #Sicherheitslücke #LucaTrack (Entdeckt von @bkastl u @rvnstn) ermöglicht Auslesen von Check-in Locations 30 Tage rückwärts u Verfolgung aktueller Check-Ins. Ein feuchter Traum für Stalker! #LucaFail ⬇️
/31
/31
https://twitter.com/fanaticTRX/status/1382027771803799552
Hier zeigt @bkastl per Video, wie einfach die Sicherheitslücke #LucaTrack das Auslesen von 30 Tagen Geo-Koordinaten der Luca Check-ins ermöglicht (wo der/die Besitzer:in war). Das Unternehmen wurde vor Veröffentlichung d Schwachstelle informiert. Video: ⬇️ #LucaFail #LucaApp /32
https://twitter.com/bkastl/status/1382056373823868932
Erste Medien berichten, dass das Start Up sich bereits in einer Presseerklärung dazu äußerte, die Sicherheitslücke #LucaTrack bei den #LucaApp Schlüsselanhängern sei geschlossen worden. Obs stimmt, wird man sehen. Fakt ist: ein #LucaFail jagt den anderen.
/33
/33
https://twitter.com/horn/status/1382061849156456453
Nur als vernichtend kann man diese Generalabrechnung des Chaos Computer Clubs zur #LucaApp bezeichnen. Der CCC "fordert das sofortige Ende der staatlichen Alimentierung von Smudos Steuer-Millionengrab “Luca-App”"
ccc.de/de/updates/202…
#bundesnotbremse für #lucafail /34
ccc.de/de/updates/202…
#bundesnotbremse für #lucafail /34
Die genaue Beschreibung der Sicherheitslücke #LucaTrack gibts hier allgemeinverständlich nachzulesen, damit wurde die Presse informiert: lucatrack.de/LucaTrack%20Pr…
#LucaApp #LucaFail /35
#LucaApp #LucaFail /35
Die Macher der #LucaApp diskreditieren immer wieder Kritiker:innen. Meine Aussage, die App sei "schlecht gemacht u funktional kaputt" bezeichnete #Smudo in einem Interview als "falsch u völliger Schwachsinn".
Das spricht für krasse Realitätsverweigerung, denn...
#LucaFail /36
Das spricht für krasse Realitätsverweigerung, denn...
#LucaFail /36
... inzwischen beschreiben auch Gesundheitsämter recht ausführlich, auf wie vielen Arten u Weisen die #LucaApp ihre Funktion NICHT erfüllt. Schon seit Tagen wollte ich Euch den Bericht der Stadt Weimar dazu aufdröseln, das hat nun @HonkHase umfassend erledigt:
/37
/37
https://twitter.com/HonkHase/status/1383883151802441731
Meine Highlights zur #LucaApp aus dem Weimarer Bericht: "Von 655 angefragten u übermittelten Kontakten waren "0" (= NULL) Kontakte relevant". 🧐
Jeder der 655 Kontakte musste vom Ges.Amt bewertet werden (= Aufwand).
Einen Nutzen für die Kontaktverfolgung gab es dabei nicht. /38
Jeder der 655 Kontakte musste vom Ges.Amt bewertet werden (= Aufwand).
Einen Nutzen für die Kontaktverfolgung gab es dabei nicht. /38
"Funktional kaputt" ist die #LucaApp laut Weimarer Bericht aber auch, weil (u.a.):
- viele Checkouts nicht funktionieren
- das GA Daten zu manuellen Checkins gar nicht erhält
- angepriesene User Warnfunktion nicht existiert
- Checkin im Nachbarladen nur mit Umweg mögl ist. /39
- viele Checkouts nicht funktionieren
- das GA Daten zu manuellen Checkins gar nicht erhält
- angepriesene User Warnfunktion nicht existiert
- Checkin im Nachbarladen nur mit Umweg mögl ist. /39
so ist es auch kein Wunder, dass der Weimarer Bericht schlussfolgert, dass der Einsatz der #LucaApp im Einzelhandel NICHT empfohlen werden kann. Ob #Smudo nun auch die Stadt Weimar u ihren Bericht als "falsch und schwachsinnig" bezeichnet? /40
Lest auf jeden Fall den gesamten Thread von @HonkHase zum Bericht der Stadt Weimar, in meinem Thread bei /37 verlinkt. Da stehen noch mehr "Perlen" drin. Ich bleibe dabei, die #LucaApp ist ein eklatanter #LucaFail, ein Werbegag, der Smudo u.a. reich macht u niemandem nützt. /41
Korrektur zu meinem Tweet nr 36: Das Zitat/Interview hatte die Schweriner Volkszeitung nicht mit #Smudo, sondern mit @patrick_hennig, geführt. Er steht an der Spitze des #LucaApp Start Up u er nannte meine Aussagen schwachsinnig.
Smudo macht nur Werbung für sein Investment. /42
Smudo macht nur Werbung für sein Investment. /42
https://twitter.com/anked/status/1384017036301373443
Noch ein Praxis Beispiel dafür, wie die #LucaApp sinnlose Daten produziert, mit denen kein Gesundheitsamt effektiv Kontakte nachverfolgen kann. ⬇️ /43
https://twitter.com/demivengi/status/1384031043338915851
70 führende IT-Sicherheitsforscher:innen unterzeichnen offenen Brief mit fundamentaler Kritik an #LucaApp. @evawolfangel schreibt darüber hier: zeit.de/digital/datens….
Nachfolgend ein paar Highlights aus dem Text. /44
Nachfolgend ein paar Highlights aus dem Text. /44
70 Sicherheitsforscher:innen: 4 Grundprinzipien sind für Apps zur Kontakt Nachverfolgung wichtig:
1. Zweckbindung,
2. Transparenz,
3. Freiwilligkeit,
4. Risikoabwägung.
Die #LucaApp erfüllt keines davon. #Lucafail /45
1. Zweckbindung,
2. Transparenz,
3. Freiwilligkeit,
4. Risikoabwägung.
Die #LucaApp erfüllt keines davon. #Lucafail /45
70 IT-Sicherheitsforscher:innen: Mit #LucaApp verbundene Risiken durch zentr. Datensammlung sind völlig unverhältnismäßig u "bergen massives Missbrauchspotenzial".
Bewegungsprofile lassen sich mit Metadaten erstellen.
"Über Luca könnte nachvollzogen werden, wo jmd wann war" /46
Bewegungsprofile lassen sich mit Metadaten erstellen.
"Über Luca könnte nachvollzogen werden, wo jmd wann war" /46
Aber dafür entlastet die #LucaApp doch die Gesundheitsämter!!!1elf
Nö.
70 IT-Sicherheitsforscher:innen: "Der Nutzen des Luca Systems bleibe zweifelhaft", "durch schlechte Datenqualität könnte die Belastung des Gesundheitsamtes sogar noch zu nehmen" /47
Nö.
70 IT-Sicherheitsforscher:innen: "Der Nutzen des Luca Systems bleibe zweifelhaft", "durch schlechte Datenqualität könnte die Belastung des Gesundheitsamtes sogar noch zu nehmen" /47
Warum sehen 70 IT-Sicherheitsforscher:innen in fehlender technischer #Zweckbindung der #LucaApp ein weiteres großes Problem?
Weil jetzt eine Abhängigkeit von einem einzelnen Privatunternehmen entsteht, per (kommerzieller) App, die auf Mill. dt. Mobiltelefone installiert ist. /48
Weil jetzt eine Abhängigkeit von einem einzelnen Privatunternehmen entsteht, per (kommerzieller) App, die auf Mill. dt. Mobiltelefone installiert ist. /48
zur Pandemiebekämpfung muss man Datenschutz weiter reduzieren? 70 IT Sicherheitsforscher:innen: "auch in dezentralen, datensparsamen Systemen können notw. Informationen zur Pandemiebekämpfung erhoben u Ges.Ämtern zur Verfügung gestellt werden." Sie empfehlen #CoronaWarnApp. /49
70 IT Sicherheitsforscher innen: mit #LucaApp gabs eine App, bevor klar war, welches Problem man lösen wolle. Es wurde nicht geprüft, ob zentrale Speicherung so vieler Daten verhältnismäßig ist. Haltlose Versprechen, wie "Luca holt Menschen aus Lockdown" verspielen Vertrauen.
/50
/50
gleich noch eine unbedingte Leseempfehlung, der ganze (längere) Text ist großartig. @mfeilner schreibt, was alles an der #LucaApp ein #LucaFail ist, und warum wir mit der #CoronaWarnApp eine bessere Lösung haben u "Digitale Globuli" nur schaden: regensburg-digital.de/luca-in-regens… /51
Der offene Brief der 70 IT Sicherheitsforscher:innen, auf den sich Tweets 44-50 im Thread beziehen, kann hier nachgelesen werden: digikoletter.github.io.
Die Liste der Erstunterzeichner:innen ist ein Who ist Who der IT Sicherheitsforschung in Deutschland. #LucaApp #LucaFail /52
Die Liste der Erstunterzeichner:innen ist ein Who ist Who der IT Sicherheitsforschung in Deutschland. #LucaApp #LucaFail /52
Die Sicherheitslücken bei der #LucaApp nehmen kein Ende. Guckt Euch diese hier mal an 🙈🙈🙈 von wegen "Bei Luca sind Eure Daten sicher, solange keiner in ein Gesundheitsamt einbricht" ⬇️ /53
https://twitter.com/evawolfangel/status/1387714891092475909
Der Brillen-Apollo CEO @Joerg_Ehmer fühlt sich (zu Recht) von d Politik verschaukelt. Die #CoronaWarnApp wurde lang vom Bund vernachlässigt, danach eine defekte u unsichere #LucaApp von Kommunen u Ländern hoch gejazzt u z. T. sogar vorgeschrieben. Grund: #digitaleInkompetenz /54
https://twitter.com/Joerg_Ehmer/status/1388520281656991747
"Nur 15 von 53 Gesundheitsämtern in NRW nutzen die Kontaktverfolgungssoftware SORMAS" - Mit der Kontaktverfolgung kommen sie einfach nicht hinterher, aber in der Region wird die #LucaApp beworben, weil die ja so eine tolle Anbindung an SORMAS haben soll. 🙈 #digitaleGlobuli
/55
/55
https://twitter.com/sand2drn/status/1388931845581066244
Das großartige @Peng ! Kollektiv demonstriert Euch in 125 Sekunden Video, wie unsicher die #LucaApp ist u wie leicht man das Luca System mit falschen Daten fluten kann. Binsenweisheit: wo ein System derartige Lücken hat, werden sie ausgenutzt. #LucaHack #LucaFail #LuciApp /56
https://twitter.com/Peng/status/1389420397586694149
Mit der #Hackerautobahn ins Gesundheitsamt? - das GA Aachen beendete die Kooperation mit d #LucaApp, zu groß die Sorgen, dass schlechte IT-Sicherheit bei Anbindung von Luca ans SORMAS Fachverfahren die IT des Gesundheitsamtes gefährdet: @evawolfangel: zeit.de/digital/datens…
/57
/57
Weil der eben verlinkte Text recht lang ist, hier ein paar Highlights:
Sozialdezernent Ziemons, Stadt Aachen: "der Druck war massiv", "Schimpfwörter wie Digitaltrottel fielen", die #LucaApp Leute köderten mit kostenlosen Probephasen. "Dieses Geschäftsmodell ist so perfide." /58
Sozialdezernent Ziemons, Stadt Aachen: "der Druck war massiv", "Schimpfwörter wie Digitaltrottel fielen", die #LucaApp Leute köderten mit kostenlosen Probephasen. "Dieses Geschäftsmodell ist so perfide." /58
Besonders gefährlich: die geplante Direktanbindung an die Fachanwendung Sormas, sagt Sozialdezernent Ziemons: "jede Schwachstelle im Luca-System (könnte) auch eine Schwachstelle im System des Gesundheitsamtes werden" #LucaApp #LucaFail
/59
/59
Das Problem: Weil Grundregeln der IT Sicherheit nicht eingehalten wurden, kann man im #LucaApp System geradezu beliebige Daten bei der Registrierung eingeben, das kann auch Schadsoftware sein, und das Risiko dafür wird vollständig auf die Gesundheitsämter abgewälzt. /60
Gérard Krause, SORMAS Entwickler, meint, dass die Fachanwendung Schadcode erkennt, will aber keine Verantwortung übernehmen für Schäden, die durch #LucaApp Daten im Gesundheitsamt entstehen. GA Schnittstellen dürfen nur für vertrauenswürdige u sichere Systeme geöffnet werden. /61
Muss man versierter Hacker sein, um über #LucaApp Gesundheitsämtern zu schaden? laut @HonkHase nicht. Da Eingabefelder zB für Name o Adresse beliebige Daten u Datenlängen erlauben, könnten Böswillige auch mit Eingabe eines Kilometerlangen Namens ältere IT Systeme lahmlegen. /62
Auch was #LucaApp nützt, fragte @evawolfangel:
1) Nur 3 von 137 GÄ nutzen Luca im Alltag
2) Ges.Amt Weimar: von 655 Luca Datensätzen waren 0 verwertbar.
3) GA Bodenseekreis rief seit Pandemiebeginn erst 3 Mal Kontaktlisten ab.
WTF! DAFÜR diese teure, hochriskante App?!? /63
1) Nur 3 von 137 GÄ nutzen Luca im Alltag
2) Ges.Amt Weimar: von 655 Luca Datensätzen waren 0 verwertbar.
3) GA Bodenseekreis rief seit Pandemiebeginn erst 3 Mal Kontaktlisten ab.
WTF! DAFÜR diese teure, hochriskante App?!? /63
Ich sag ja, die #LucaApp ist #funktionalkaputt.
Checkins von Luca Schlüsselanhängern können von Gesundheitsämtern NICHT nachvollzogen werden. Wie gut, dass es eine "Lösung" für Menschen ohne Smartphone gibt, sie können sich sicherer "fühlen". Checkout geht übrigens eh nicht. /64
Checkins von Luca Schlüsselanhängern können von Gesundheitsämtern NICHT nachvollzogen werden. Wie gut, dass es eine "Lösung" für Menschen ohne Smartphone gibt, sie können sich sicherer "fühlen". Checkout geht übrigens eh nicht. /64
https://twitter.com/mame82/status/1392209069352574983
Wer mehr wissen will zu aktuellen Positionen diverser Sachverständiger hinsichtlich #CoronaWarnApp u #LucaApp, dem empfehle ich meinen Video-Ausschussreport zum #Digitalausschuss im Bundestag von letzter Woche. /65 ⬇️
https://twitter.com/anked/status/1392024656455077889
Wer lieber ein längeres Interview mit mir zu #coronaWarnaapp u #LucaApp lesen möchte, wird hier (@AZ_Augsburg ) fündig: augsburger-allgemeine.de/politik/Interv…
Für Lesefaule gibts nachfolgend ein paar Zitate. /66
Für Lesefaule gibts nachfolgend ein paar Zitate. /66
Der unschlagbare Vorteil der #CoronaWarnApp ist ihre Warngeschwindigkeit. Mancher zweifelt an ihrer Wirkung, weil er/sie wg Lockdown zZ keine Warnungen selbst erhält. Aber es gibt sie u jetzt auch Daten dazu: jede hochgeladene Warnung generiert 6 rote Warnungen an Dritte!
/67
/67
Die #CoronaWarnApp nützt! Guckt einfach rein in die App, sie zeigt an, dass bisher 456.369 Warnungen hochgeladen wurden. Jede warnte im Schnitt 6 Nutzer:innen. Das sind über 2.7 Mio (!) Menschen, von denen sich 80% testen ließen, wodurch ca 150.000 Infektionen entdeckt wurden /68
Zurück zum Interview in @AZ_Augsburg: ich wurde gefragt, wie ich weiteren Funktionen für #CoronaWarnApp finde. Zum Impfnachweis äußerte ich mich skeptisch, aber eine Broadcasting Funktion wär toll, was das ist, erkläre ich im Zitat. Warnungen ü #LucaApp gibts übrigens nicht. /69
In @PNN_de gibts ebenfalls einen längeren Text mit Kritik zur #LucaApp, denn Potsdam will sie auch einführen (🙈). Highlights darin zitieren die Stellungnahme der Datenschutzaufsichtsbehörden von Bund u Ländern: "zZ können Gesundheitsämter nicht von korrekten Daten ausgehen" /70
Und weiter kritisieren die Expert:innen: dass alle Gesundheitsämter im #LucaApp System den gleichen (!) Schlüssel für Daten-Entschlüsselungen verwenden, birgt Missbrauchsgefahr.
/71
/71
Außerdem, so d Bericht d Datenschutz-Behörden aus Bund u Ländern, können bei #LucaApp Fake-Identitäten erstellt werden, was auch zu Quarantäne-Pflichten für Bürger:innen ohne jeglichen Risikokontakt führen könnte. Auch Telefonbelästigungen sind durch Fakeanmeldungen möglich. /72
Auch die mögliche Überlastung von Gesundheitsämtern durch Mülldaten aus dem #LucaApp System kritisieren die Datenschützer:innen aus Bund u Ländern. "Ein Kontaktverfolgungssystem, das nicht in der Lage sei, den GÄ valide Daten zu liefern, werde seinem Zweck nicht gerecht." /73
Aus den "über 70 IT-Sicherheitsforscher:innen", die einen offenen Brief mit grundlegender Kritik u Forderungen an die #LucaApp unterzeichneten, sind inzwischen über 450 unterzeichnende Fachleute geworden, schreibt @PNN_de. Die Stadt bleibt jedoch bei ihrer Empfehlung. /74
ich hab euch ja noch gar nicht den Link zum ganzen Artikel hier gepostet, den ich hier in mehreren Tweets zur #LucaApp zitiert hatte. Hier also das ganze Stück aus der @PNN_de zum Nachlesen: pnn.de/potsdam/start-… #Datenschutzkonferenz
/75
/75
Und schon wieder wurde eine #Sicherheitslücke bei #LucaApp entdeckt (von @mame82): Man kann verschlüsselte Kontaktdaten von Luca Schlüsselanhänger Nutzer:innen nach Checkin unbemerkt ändern u so zB unbeliebte Personen vom Ges.Amt in Quarantäne schicken lassen 🙈. /76 ⬇️
https://twitter.com/mame82/status/1393182733673848833
Es ist wirklich bodenlos, die #LucaApp stets als einzige App in Deutschland anzupreisen, die verifizierte Kontaktdaten an Gesundheitsämter liefern kann, wo sie genau das offensichtlich nicht tut. Luca ist aber nicht nur nutzlos, sondern auch gefährlich. /77
was die vielen Sicherheitslücken immer wieder deutlich machen, ist wie krass dilettantisch die #LucaApp entwickelt wurde, die Daten zu Bewegungsprofilen von potentiell zig Millionen Bürger :innen zentral speichern soll. Ein schlechtes Konzept schlecht umgesetzt = worst case. /78
Sehr schön hat @bkastl in einem thread zusammengefasst, wie viele fuckups allein zum #LucaApp #Schlüsselanhänger bereits bekannt wurden... zB heimlich Leute tracken (Stalker freut sich), Ges.Amt kommt an Daten aber nicht ran, Checkout geht auch nicht etc. #funktionalkaputt /79
https://twitter.com/bkastl/status/1393200912403992579
Und @evawolfangel fiel noch was auf, nämlich dass Nexenio (#LucaApp Firma) selbst alle Seriennummern der Schlüsselanhänger kennen kann u daher auch an (Checkin) Bewegungsprofile der Nutzer:innen rankommt. Von wegen "Wir können nix lesen, weil so toll verschlüsselt" LOL! /80
https://twitter.com/evawolfangel/status/1393204222146064389
Zu "automatischen Warnungen" per #LucaApp: im November 2020 von Smudo im TV angepriesen... /81
https://twitter.com/anked/status/1396544278659272708
... gibt es nun statt angepriesener automat. Warnung schlappe 6 Mon später eine "Info über Datenabfragen", unter Warnung verstehe ich allerdings etwas Anderes! Und mich ärgert wirklich, dass die Bundesländer 21 Mio € für ein unfertiges u schlechtes Produkt bezahlen. #LucaApp /82
Und hier offenbart sich im übrigen ein weiteres Problem mit den #LucaApp Schlüsselanhängern, die nicht nur sehr unsicher sind, sondern außerdem natürlich niemanden automatisch warnen können. Ein auf Plastik aufgeklebter QR-Code empfängt nun mal keine Nachrichten. /83
EIL: 😱 #LucaApp ermöglicht gefährliche Einschleusung von Schadsoftware ins Gesundheitsamt, demonstriert von @mame82 am Bsp #Ramsonware!
Jedes Gesundheitsamt sollte bei derart unsicherer Software sofort die Verbindung kappen. Luca = IT Security Risiko #lucafail @BSI_Bund ⬇️ /84
Jedes Gesundheitsamt sollte bei derart unsicherer Software sofort die Verbindung kappen. Luca = IT Security Risiko #lucafail @BSI_Bund ⬇️ /84
https://twitter.com/mame82/status/1397425075654168576
genau vor dieser Art Angriffsmöglichkeit auf Gesundheitsämter durch #LucaApp haben IT Sicherheitsexpert:innen länger gewarnt. Die Macher der Luca App stritten ab, dass es diese Sicherheitslücke gibt. Siehe Artikel von @evawolfangel von Anfang Mai. Was muss noch passieren? /85
https://twitter.com/evawolfangel/status/1397427334202920961
🙈 Ich glaubs einfach nicht... die Dilettanten der #LucaApp haben die gravierende neueste Sicherheitslücke so "gefixt", dass man jetzt über die Eingabe von Luca Kontaktdaten die Software im Gesundheitsamt abstürzen kann!
Danke @mame82 für das erneute Offenbaren des #LukaFail. /86
Danke @mame82 für das erneute Offenbaren des #LukaFail. /86
https://twitter.com/mame82/status/1397931535781699590
BÄM! Endlich äußert sich das Bundesamt f Sicherheit in d Informationstechnik öffentl. zur #LucaApp. Link zum Thread des #BSI:
https://twitter.com/bsi_bund/status/1398195277257916416?s=21. Darin steht u.a.: Der Luca App-Hersteller ist für Übermittlg sicherer Daten verantwortlich! Der Nexenio Chef sah das anders. /87
was @evawolfangel sagt!
#LucaApp #LucaFail /88
#LucaApp #LucaFail /88
https://twitter.com/evawolfangel/status/1398209413786357760
kleiner Exkurs in die mysteriöse Welt der Wiederholungsschleife:
1) Sicherheitslücke bei #LucaApp von Journos, Aktivist:innen o. Sicherheitsforscher:innen aufgedeckt
2) NeXenio macht stümperhaften Hotfix
3) NeXenio macht PR = "Problem war keins, aber wir haben es gelöst". /89
1) Sicherheitslücke bei #LucaApp von Journos, Aktivist:innen o. Sicherheitsforscher:innen aufgedeckt
2) NeXenio macht stümperhaften Hotfix
3) NeXenio macht PR = "Problem war keins, aber wir haben es gelöst". /89
https://twitter.com/mfeilner/status/1397596914540023811
Hier (siehe Tweet /89) hatte also NeXenio das Problem "Schadcode Einschleusung über CSV Schnittstelle bei Gesundheitsämtern" durch pauschale Löschung aller möglicher Sonderzeichen zu lösen versucht, was aber unzählige Namen verstümmelt, die zB š oder ç enthalten. #LucaApp /90
und nun zieht Euch diesen kleinen aber feinen thread von @mfeilner dazu rein, in dem er die in /89 erwähnte Wiederholungsschleife analysiert. Ein Ausschnitt hier als Foto, sein Mini- Thread hier:
#LucaApp #LucaFail /91
https://twitter.com/mfeilner/status/1397836062236479492?s=21
#LucaApp #LucaFail /91
übrigens, wenn was schiefgeht mit den Daten, ist die Location dran, während die Dilettanten von #LucaApp aus dem Schneider sind. Vielleicht erzählt Ihr das mal den Inhaber:innen der Cafés u Shops die einen Luca QR Code an der Tür haben u warnt sie vor misslichen Folgen.
/93
/93
https://twitter.com/awoka_de/status/1398215264819462146
Wie viele Nutzer-Namen der dilettantische Hotfix der letzten Sicherheitslücke bei #LucaApp nun einfach wegfiltert (die werden dann vom Gesundheitsamt nie angerufen, wenn was ist), hat spaßeshalber @yetzt für Euch mal näherungsweise herausgefunden ⬇️ #lucaFail /94
https://twitter.com/yetzt/status/1397604677995401219
Ich dachte, für heute war genug #LucaFail, aber es geht noch schlimmer! Jetzt werden LucaLocation Inhaber gebeten, IT-Sicherheits-NoGos zu begehen, u ihre privaten (!!!) Schlüssel bei d Anmeldung zur #LucaApp hochzuladen. 🙈🙈🙈 Bitte tut das NIEMALS! (ist wie Euer Passwort). /95
https://twitter.com/ralf/status/1398243584919457792
so sieht es aus, wenn #LucaApp versucht, die privaten Schlüssel von Location Inhaber:innen zu erhalten.
Hinweis für wenig IT-affine Menschen: es gibt 2 Schlüssel bei dieser Verschlüsselung, 1 öffentlichen u 1 privaten u der private heisst so, weil man ihn geheim halten soll! /96
Hinweis für wenig IT-affine Menschen: es gibt 2 Schlüssel bei dieser Verschlüsselung, 1 öffentlichen u 1 privaten u der private heisst so, weil man ihn geheim halten soll! /96
https://twitter.com/sand2drn/status/1398256667180113920
Die Macher der #LucaApp regen sich immer auf, wenn man die App als funktional kaputt bezeichnet. In diesem Thread gibts schon viele Beispiele für #lucafail, aber hier habt Ihr noch eins:
Luca bringt checkin/-out Zeiten durcheinander, erzeigt Müll-Daten fürs Gesundheitsamt./97
Luca bringt checkin/-out Zeiten durcheinander, erzeigt Müll-Daten fürs Gesundheitsamt./97
https://twitter.com/SeniorRoss/status/1400870702245416963
Ich dokumentiere längst nicht alle #lucafails, weil da keiner mehr nachkommt. Aber langsam muss wer (@BSI_Bund 👀) die Reissleine ziehen u formell vor weiterem Einsatz der #LucaApp warnen. Gestern zeigte @mame82, dass immer noch Gesundheitsämter ü Luca angreifbar sind (contd) /98
https://twitter.com/mame82/status/1405855701830938627
2 Std später erklären Unternehmensvertreter von #LucaApp, das Problem sei erkannt, mit den Ges.-ämtern löse man das gemeinsam. Wie JEDES MAL fixten sie ein nicht verstandenes Problem, ohne Tests, ohne strukturelle Prüfung. Wie jedes Mal, blieben gravierende Sicherheitslücken!
/99
/99
https://twitter.com/mame82/status/1406269269873201159
Zum 3. Mal (wenn ich nicht weitere Fälle übersehen habe) hat nun @mame82 nachgewiesen, dass man über die Sicherheitslücken u den Schrott-Code der #LucaApp Schadsoftware an Gesundheitsämter (!) übermitteln kann, so könnten zB kriminelle Erpresser Ges.Amts-Daten verschlüsseln. /100
Zieht Euch den mini Thread von @mame82 rein, den ich bei Tweet #99 verlinkt hatte. Für Menschen mit Sinn für IT-Sicherheits ist es eine reinste #LucaApp Horrorstory.
Warum verlangen die Bundesländer nicht ihre 22mio € für #lucafail zurück? Warum machen sie weiter Werbung? /101
Warum verlangen die Bundesländer nicht ihre 22mio € für #lucafail zurück? Warum machen sie weiter Werbung? /101
IT-Sicherheitsfachmann @mame82 hat unzählige Sicherheitslücken der #lucafail App dokumentiert + unfassbar viel unbezahlte Zeit investiert. Die #LucaApp Leute "dankten" es mit Ignoranz u "weiter so" Marketing. Seine Arbeit stellt er deshalb unvollendet ein. Seine Sammlung ⬇️ /102
https://twitter.com/mame82/status/1406281381756518405
Falls wer das Problem der über #LucaApp ins Gesundheitsamt eingeschleusten Schadsoftware (CSV Injection) besser verstehen möchte, @evawolfangel hatte die ursprüngliche Sicherheitslücke u ihre potentiellen Folgen schon im Mai sehr gut beschrieben:
/103
/103
https://twitter.com/evawolfangel/status/1406322612666568710
• • •
Missing some Tweet in this thread? You can try to
force a refresh
