Das ist krass. Nicht nur weil das eine gefährliche Lücke ist, die Gesundheitsämtern #Ransomware bescheren könnte, sondern auch, weil Nexenio seit drei Wochen (!) Bescheid weiß – und sie bis heute offen ist: #LucaApp-CEO Patrick Hennig sagte mir am 3.5., diese Lücke gebe es nicht
Das war im Rahmen dieser Recherche, in der mir Gesundheitsämter sagten, dass sie fürchten, dass die Sicherheitslücken der #LucaApp ihre eigenen Systeme unsicher machen. Genau das ist jetzt passiert, wie @mame82 zeigt.

zeit.de/digital/datens…
Entweder Patrick Hennig hat mich bewusst angelogen, was ich ihm eigentlich nicht unterstellen will. Die andere Erklärung wäre, dass #Luca es in drei Wochen nicht schafft, eine gefährliche Sicherheitslücke zu schließen - und niemanden darüber informiert. Fast noch schlimmer.
E-Mail an Nexenio ist raus. Wir werden diesmal nicht warten können mit der Berichterstattung, bis die Lücke geschlossen ist. Sie schon öffentlich - und wer weiß, ob Nexenio sie diesmal wirklich schließt. Mein Tipp: Nutzt die #LucaApp nicht.
Hier ist das komplette Video von @mame82, in dem er zeigt, wie Angreifer aufgrund dieser Lücke der #LucaApp - von der Nexenio seit drei Wochen weiß - Daten aus Gesundheitsämtern abziehen können und wie eine Ransomware-Attacke aussehen könnte.
In meinem nun veröffentlichten Artikel erklärt @mame82, wie ein solcher Angriff skalieren würde in Kombination mit der Möglichkeit massenhafter Fake Checkins, die mit der #LucaApp möglich sind. @Linuzifer bestätigt: das Angriffsszenario ist realistisch.

zeit.de/digital/2021-0…
Mir wurde von den #LucaApp-Machern vor drei Wochen gesagt, diese Lücke existiere nicht. Im Hintergrund wurde NACH meiner Anfrage hektisch und halbherzig versucht, sie zu fixen. Ohne Erfolg, wie wir heute sehen. Sicherheit scheint dort nicht an erster Stelle zu stehen.
Oder, wie @mame82 im Artikel sagt: "Das alles zeigt, dass Nexenio seiner Verantwortung nicht gewachsen ist."
Luca hat die vergrault, die ihnen seit Monaten helfen und eine ganze Reihe an Sicherheitslücken der #LucaApp gemeldet haben. „Nexenio hat diese jedes einzelne Mal geleugnet. Wer sich so unaufrichtig verhält, bekommt irgendwann keinen freundlichen Hinweis mehr“, sagt @Linuzifer.
Update: Patrick Hennig teilt mir mit, die Lücke sei nun geschlossen worden.
Leute fragen mich, ob die Lücke wirklich gefixt ist. Die Überprüfung überlasse ich Sicherheitsexpert:innen. Beim letzten Mal hat mir der #LucaApp-CEO allerdings das gleiche gesagt - und es stimmte nicht.

Zumindest scheint jetzt auch einiges anderes nicht mehr zu funktionieren:

• • •

Missing some Tweet in this thread? You can try to force a refresh
 

Keep Current with Eva Wolfangel

Eva Wolfangel Profile picture

Stay in touch and get notified when new unrolls are available from this author!

Read all threads

This Thread may be Removed Anytime!

PDF

Twitter may remove this content at anytime! Save it as PDF for later use!

Try unrolling a thread yourself!

how to unroll video
  1. Follow @ThreadReaderApp to mention us!

  2. From a Twitter thread mention us with a keyword "unroll"
@threadreaderapp unroll

Practice here first or read more on our help page!

More from @evawolfangel

14 May
Wieder ein #LucaApp-Sicherheitslücke.
Es hieß, wir brauchen Luca, weil sich Menschen als "Donald Duck" in Papierlisten eintragen. @mame82 und andere zeigen in einem fort, dass Luca genau das NICHT löst. Und dass das System unsicher ist. Sein USP ist gestorben. Es kann weg. 1/3
In meiner Recherche habe ich erfahren, dass Gesundheitsämter diese Listen in der gesamten Pandemie kaum genutzt haben (Bodenseekreis: 3 Stück!), das sie also ohnehin kaum eine Rolle spielen. Um welchen Preis digitalisieren wir etwas, das keine Rolle spielt? 2/3
...und zwingen Menschen, ihre persönlichen Daten einem unsicheren System unzuvertrauen? Das ist völlig unverhältnismäßig. Zusammengefasst: Das Problem, das die #LucaApp vorgibt zu lösen, ist marginal. Und: DIE APP LÖST ES NICHT. Sie macht den ganzen Prozess nur unsicher. 3/3
Read 5 tweets
1 Apr
Mehr als 10 Millionen für eine App, die unsere Probleme nicht löst, sondern womöglich auch noch Schaden anrichtet. Wir haben recherchiert, wie das passieren konnte. Marketing, Druck und zweifelhafte Vergabeverfahren stehen hinter dem Erfolg der #LucaApp. zeit.de/digital/datens…
Nachdem der Artikel nun hinter der Paywall und damit für viele nicht mehr zugänglich ist, schreibe ich hier eine kurze Zusammenfassung einiger der wichtigsten Punkte zum zweifelhaften Erfolg der #LucaApp per Thread (jede Menge mehr Details und Quellen im Originaltext)
Uns erschien es seltsam, dass plötzlich jede Menge Bundesländer für jede Menge Geld Lizenzen für eine App kaufen, die unsere Probleme nicht löst und die von Fachleuten als gefährlich eingestuft wird – also haben wir uns das genauer angeschaut und Bedenkliches gefunden. 1/
Read 19 tweets
12 Mar
Nach vielen Interviews mit Datenschütz:innen und Expert:innen muss ich sagen: #LucaApp ist keine Lösung. Es gibt dezentrale Alternativen! Danke @privacyDE, @LilithWittmann @cccfr @Peter_Schaar @carmelatroncoso @marcelsalathe_d Stefan Brink & Marit Hansen zeit.de/digital/datens…
Das hier ist die im Artikel erwähnte datenschutzfreundliche #LucaApp-Alternative für eine EventApp. Die ist schon veröffentlicht, wir könnten sofort loslegen - auch ohne darauf warten zu müssen, bis alle Gesundheitsämter eine digitale Schnittstelle haben.
netzwoche.ch/news/2020-11-1…
Mir wird jetzt gesagt, #LucaApp nutze keine Fingerprintingdaten. Wieso stehen sie dann in der Datenschutzerklärung? (Screenshot von heute) Ich habe Patrick Hennig mehrmals gefragt, was es damit auf sich hat. Er konnte mir das nicht erklären. Woher soll das Vertrauen kommen? Image
Read 18 tweets

Did Thread Reader help you today?

Support us! We are indie developers!


This site is made by just two indie developers on a laptop doing marketing, support and development! Read more about the story.

Become a Premium Member ($3/month or $30/year) and get exclusive features!

Become Premium

Too expensive? Make a small donation by buying us coffee ($5) or help with server cost ($10)

Donate via Paypal Become our Patreon

Thank you for your support!

Follow Us on Twitter!

:(