Share this page!

Manuel Atug Profile picture
Twitter logo
26 May, 10 tweets, 5 min read
Hacker können Gesundheitsämter über Luca angreifen

"Die #LucaApp liefert Daten ans Gesundheitsamt. Sicherheitsexperten zeigen nun: Darin lässt sich Quellcode verstecken, der potenziell ganze Behörden lahmlegen könnte"

Von @evawolfangel via @zeitonline /1
zeit.de/digital/2021-0…
"All das ist auch deshalb bemerkenswert, weil Patrick Hennig, der CEO von Nexenio, der Firma, die #LucaApp entwickelt hatte, vor einigen Wochen auf Nachfrage sagte, eine solche Attacke sei nicht möglich" /2
zeit.de/digital/datens…
"Die getroffenen Vorkehrungen sind allerdings lückenhaft. "Das zeigt, dass sie das Problem nicht verstanden haben", sagt @mame82." /3
"Dass offenbar weder entsprechende Tests stattfinden noch das Problem verstanden werde, ärgert @mame82, der schon mehrere andere Probleme im Code der Fachanwendung gefunden hatte. "Das alles zeigt, dass Nexenio seiner Verantwortung nicht gewachsen ist."" /4
"Tatsächlich ist #Ransomware ungefähr das Letzte, was man inmitten einer Pandemie in Gesundheitsämtern braucht – denn damit würden sie handlungsunfähig."

Ja danke auch, #LucaApp 😒 /5
"Dass das Angriffsszenario realistisch ist, bestätigt auch @Linuzifer, Sprecher des #CCC, der die Schwachstelle geprüft und bewertet hat. "Ein Angreifer kann darüber beliebigen Code ausführen lassen", sagt er." /6
"Es sei möglich, durch die #Schwachstelle #Patientendaten herunterzuladen, beliebige Daten zu löschen oder Schadsoftware wie #Ransomware nachzuladen."

#LucaApp /7
"Besonders problematisch sei, dass bereits vor dem Problem gewarnt wurde, Nexenio darauf aber nicht adäquat reagiert habe. #LucaApp hat das Risiko – wie immer – kleingeredet, statt es ernst zu nehmen."" /8
"Üblicherweise informieren Sicherheitsexpertinnen den Hersteller einer Software, bevor sie eine Lücke veröffentlichen, sodass die Schwachstelle geschlossen werden kann. Das sei hier nicht nötig – die Lücke sei ja längst bekannt." /9
"Die IT-Security-Community habe inzwischen eine ganze Reihe an Sicherheitslücken gemeldet, sagt @Linuzifer, "und Nexenio hat diese jedes einzelne Mal geleugnet. Wer sich so unaufrichtig verhält, bekommt irgendwann keinen freundlichen Hinweis mehr"." /10

• • •

Missing some Tweet in this thread? You can try to force a refresh
 

Keep Current with Manuel Atug

Manuel Atug Profile picture

Stay in touch and get notified when new unrolls are available from this author!

Read all threads

This Thread may be Removed Anytime!

PDF

Twitter may remove this content at anytime! Save it as PDF for later use!

Try unrolling a thread yourself!

how to unroll video
  1. Follow @ThreadReaderApp to mention us!

  2. From a Twitter thread mention us with a keyword "unroll"
@threadreaderapp unroll

Practice here first or read more on our help page!

More from @HonkHase

Manuel Atug Profile picture
26 May
"#Hackback statt #Cyberresilienz"

Mein Editorial in der aktuellen @iXmagazin Ausgabe
heise.de/select/ix/2021…
"Wie schützt der Staat unsere kritische Infrastruktur? Sicherheitsbehörden und @BMI_Bund fordern weiterhin Staatstrojaner und mehr Befugnisse, um im Hackback - also mit invasiven Eingriffen in fremde Computersysteme - das offensive Heilsversprechen der Gefahrenabwehr zu finden."
"Mein Vorratskeller jedenfalls ist gemäß der Checkliste für Notfälle des @BBK_Bund gefüllt und ich richte mich auf Eigenvorsorge ein. Denn „Cyberwinter is coming“ und wir sind auf uns allein gestellt ..."
Read 4 tweets
Manuel Atug Profile picture
26 May
Leere Behauptungen von #LucaApp
Luca-CEO Patrick Hennig:

"Gefährlich sei das nicht: "Eine Code Injection über den Namen ist bei Luca im Gesundheitsamt nicht möglich." /1
"Sollte...Schadcode enthalten sein, werde dieser von React – der dahinterliegenden Software-Bibliothek, die #LucaApp nutze – entsprechend behandelt und "sichergestellt, dass hier kein Schaden entsteht"."

Äh kurz mal überlegen: nöpps! Ist nicht so. 🤷‍♂️ /2
zeit.de/digital/datens…
Beweisvideo von @mame82 /3
Read 4 tweets
Manuel Atug Profile picture
26 May
Videobeweis:
How to #Ransomware via CSV-Export in deutschen Gesundheitsämtern durch #LucaApp Nutzer als Angreifer 😳

"LucaApp Sicherheitslücke (Video):
Luca-Nutzer greift Gesundheitsamt mittels manipulierter Kontakdaten..."

Kudos @mame82 👌 /1
* Diebstahl der Daten weiterer Nutzer möglich
* Remote Code Execution machbar

Also einmal alles. uFF.

Was sagen die Macher hinter #LucaApp dazu? Well... /2
Nexenio weiss seit über 3 Wochen(!) davon!

#LucaApp-CEO Patrick Hennig hatte in diesem Interview mit @evawolfangel in der @zeitonline am 3.5.2021 dargelegt "diese Lücke gebe es nicht". /3
zeit.de/digital/datens…
Read 7 tweets
Manuel Atug Profile picture
24 May
#KRITIS Sektor #Energie

München: Gezielter Brandanschlag auf Infrastruktur

"20 000 Haushalte waren ohne #Strom: Das Feuer in einer Baugrube ist offenbar von linksradikalen Tätern gelegt worden - die weitere Angriffe ankündigen." /1
sueddeutsche.de/muenchen/muenc…
"Der Brand beschädigte 50 Leitungen mit #Mittelspannung, die den #Strom vom #Umspannwerk zu den Verteilerkästen führen, von denen aus wiederum die Haushalte und Betriebe in der Umgebung versorgt werden." /2
"Zeitweise waren 20 000 Haushalte in Ramersdorf, Berg am Laim und Haidhausen ohne #Strom, 150 Trafostationen fielen aus. Indem Strom über andere Leitungen ins Netz geleitet wurde, konnte nach und nach die Versorgung wieder aufgebaut werden." /3
Read 4 tweets
Manuel Atug Profile picture
23 May
In der Hand der Hacker

"Die Cyberattacke gegen die „Colonial #Pipeline“ in den USA bereitet vielen Experten Sorgen. Sie halten einen Angriff auf die #Energie-, #Wasser- oder #Krankenversorgung auch hierzulande nur für eine Frage der Zeit." /1
tagblatt.de/Nachrichten/In…
"„Es kann gut sein, dass kritische Infrastrukturen bereits kompromittiert sind“, warnt IT-Sicherheitsexperte @z_edian von der @snv_berlin" /2
"In einer Expertenanhörung wurde dieses [#ITSIG20] jedoch von allen Sachverständigen massiv kritisiert, von einem „Anti-Sicherheitsgesetz“ war die Rede. Die Mindest-Sicherheitsstandards seien keinesfalls ausreichend, bemängelten die Experten." /3
Read 4 tweets
Manuel Atug Profile picture
21 May
Verwirrung, liebe @cducsubt

"Jens #Spahn und Gesundheitsministerium @BMG_Bund weiss nicht wer für Luca bezahlen wird." schreibt @cccfr

"Zu den von Ihnen erfragten Sachverhalten liegen dem BMG keine Informationen vor."

via @fragdenstaat /700
Es gibt also noch Hoffnung, dass wir diese schlecht gemachte und datenfeindliche #LucaApp nicht überall vorgelegt bekommen 👍 /701
"Das IRIS-Gateway kommt zukünftig in #Thüringen zur Unterstützung der Kontaktdatenerfassung und -nachverfolgung zum Einsatz!"

Nice! Weniger #LucaApp ist mehr 👌 /702
Read 4 tweets

Did Thread Reader help you today?

Support us! We are indie developers!

This site is made by just two indie developers on a laptop doing marketing, support and development! Read more about the story.

Become a Premium Member ($3/month or $30/year) and get exclusive features!

Become Premium

Too expensive? Make a small donation by buying us coffee ($5) or help with server cost ($10)

Donate via Paypal Become our Patreon

Thank you for your support!

Follow Us on Twitter!

Like this author's thread?

Get emails when @HonkHase has new unrolls!

Check out other threads from @HonkHase!

Read all threads by @HonkHase

:(