Das ist krass. Nicht nur weil das eine gefährliche Lücke ist, die Gesundheitsämtern #Ransomware bescheren könnte, sondern auch, weil Nexenio seit drei Wochen (!) Bescheid weiß – und sie bis heute offen ist: #LucaApp-CEO Patrick Hennig sagte mir am 3.5., diese Lücke gebe es nicht
Das war im Rahmen dieser Recherche, in der mir Gesundheitsämter sagten, dass sie fürchten, dass die Sicherheitslücken der #LucaApp ihre eigenen Systeme unsicher machen. Genau das ist jetzt passiert, wie @mame82 zeigt.
Entweder Patrick Hennig hat mich bewusst angelogen, was ich ihm eigentlich nicht unterstellen will. Die andere Erklärung wäre, dass #Luca es in drei Wochen nicht schafft, eine gefährliche Sicherheitslücke zu schließen - und niemanden darüber informiert. Fast noch schlimmer.
E-Mail an Nexenio ist raus. Wir werden diesmal nicht warten können mit der Berichterstattung, bis die Lücke geschlossen ist. Sie schon öffentlich - und wer weiß, ob Nexenio sie diesmal wirklich schließt. Mein Tipp: Nutzt die #LucaApp nicht.
Hier ist das komplette Video von @mame82, in dem er zeigt, wie Angreifer aufgrund dieser Lücke der #LucaApp - von der Nexenio seit drei Wochen weiß - Daten aus Gesundheitsämtern abziehen können und wie eine Ransomware-Attacke aussehen könnte.
In meinem nun veröffentlichten Artikel erklärt @mame82, wie ein solcher Angriff skalieren würde in Kombination mit der Möglichkeit massenhafter Fake Checkins, die mit der #LucaApp möglich sind. @Linuzifer bestätigt: das Angriffsszenario ist realistisch.
Mir wurde von den #LucaApp-Machern vor drei Wochen gesagt, diese Lücke existiere nicht. Im Hintergrund wurde NACH meiner Anfrage hektisch und halbherzig versucht, sie zu fixen. Ohne Erfolg, wie wir heute sehen. Sicherheit scheint dort nicht an erster Stelle zu stehen.
Oder, wie @mame82 im Artikel sagt: "Das alles zeigt, dass Nexenio seiner Verantwortung nicht gewachsen ist."
Luca hat die vergrault, die ihnen seit Monaten helfen und eine ganze Reihe an Sicherheitslücken der #LucaApp gemeldet haben. „Nexenio hat diese jedes einzelne Mal geleugnet. Wer sich so unaufrichtig verhält, bekommt irgendwann keinen freundlichen Hinweis mehr“, sagt @Linuzifer.
Update: Patrick Hennig teilt mir mit, die Lücke sei nun geschlossen worden.
Leute fragen mich, ob die Lücke wirklich gefixt ist. Die Überprüfung überlasse ich Sicherheitsexpert:innen. Beim letzten Mal hat mir der #LucaApp-CEO allerdings das gleiche gesagt - und es stimmte nicht.
Zumindest scheint jetzt auch einiges anderes nicht mehr zu funktionieren:
Wieder ein #LucaApp-Sicherheitslücke.
Es hieß, wir brauchen Luca, weil sich Menschen als "Donald Duck" in Papierlisten eintragen. @mame82 und andere zeigen in einem fort, dass Luca genau das NICHT löst. Und dass das System unsicher ist. Sein USP ist gestorben. Es kann weg. 1/3
In meiner Recherche habe ich erfahren, dass Gesundheitsämter diese Listen in der gesamten Pandemie kaum genutzt haben (Bodenseekreis: 3 Stück!), das sie also ohnehin kaum eine Rolle spielen. Um welchen Preis digitalisieren wir etwas, das keine Rolle spielt? 2/3
...und zwingen Menschen, ihre persönlichen Daten einem unsicheren System unzuvertrauen? Das ist völlig unverhältnismäßig. Zusammengefasst: Das Problem, das die #LucaApp vorgibt zu lösen, ist marginal. Und: DIE APP LÖST ES NICHT. Sie macht den ganzen Prozess nur unsicher. 3/3
Mehr als 10 Millionen für eine App, die unsere Probleme nicht löst, sondern womöglich auch noch Schaden anrichtet. Wir haben recherchiert, wie das passieren konnte. Marketing, Druck und zweifelhafte Vergabeverfahren stehen hinter dem Erfolg der #LucaApp. zeit.de/digital/datens…
Nachdem der Artikel nun hinter der Paywall und damit für viele nicht mehr zugänglich ist, schreibe ich hier eine kurze Zusammenfassung einiger der wichtigsten Punkte zum zweifelhaften Erfolg der #LucaApp per Thread (jede Menge mehr Details und Quellen im Originaltext)
Uns erschien es seltsam, dass plötzlich jede Menge Bundesländer für jede Menge Geld Lizenzen für eine App kaufen, die unsere Probleme nicht löst und die von Fachleuten als gefährlich eingestuft wird – also haben wir uns das genauer angeschaut und Bedenkliches gefunden. 1/
Das hier ist die im Artikel erwähnte datenschutzfreundliche #LucaApp-Alternative für eine EventApp. Die ist schon veröffentlicht, wir könnten sofort loslegen - auch ohne darauf warten zu müssen, bis alle Gesundheitsämter eine digitale Schnittstelle haben. netzwoche.ch/news/2020-11-1…
Mir wird jetzt gesagt, #LucaApp nutze keine Fingerprintingdaten. Wieso stehen sie dann in der Datenschutzerklärung? (Screenshot von heute) Ich habe Patrick Hennig mehrmals gefragt, was es damit auf sich hat. Er konnte mir das nicht erklären. Woher soll das Vertrauen kommen?