Landesportal Baden Württemberg - da wo Developer glauben, ich hätte nicht die Zeit, ihren #JWT aus dem Screenshoot in der Doku mit der Font, in der l und I exact gleich aussehen, abzutippen. 🙃
Gut das ich tatsächlich zu faul bin, solange mit Bildbearbeitung zu spielen, bis ich das verpixelte Passwort lesen kann. 😂
Das ist der Zuständigkeitsfinder (#Xzufi) der Verwaltung des Landes-BW. Darüber können Gemeinden #ozg Formulare und Leistungen für Ihre Region "anmelden". Wenn ich also Zugriff auf die Schnittstelle habe, könnte ich Fake-Formulare erstellen und verbreiten.
Da es leider momentan keine Signaturen oder gar Ende-zu-Ende-Verschlüsselung gibt, sondern man einfach nur eine URL angibt, die dann irgendwo eingebunden wird, würde das nichtmal jemanden auffallen.
Die komplette Sicherheit der #ozg Infrastruktu von BW hängt eigentlich daran.
Ich schaue mir das allerdings primär an, weil ich glaube, das die Daten, die die API herausgibt, #OpenData sein sollten.
Also strukturierten Informationen wie "Welche Behörde ist für was zuständig". sgw.service-bw.de/rest-documenta…
• • •
Missing some Tweet in this thread? You can try to
force a refresh
Also ich würde jetzt gerne noch irgendwas positives dazu schreiben. Aber nichts daran wirkt sinnvoll. Ich möchte hiermit anzweifeln, das überhaupt irgendwie UX-Research in der Zielgruppe gemacht wurde und nein #BMF-Beamten kurz vor der Rente zählen nicht dazu. 🤡
Staatliche, kommerziell vertriebene Geodaten sind aus so vielen Perspektiven problematisch: Nicht nur, das wir sie als Gesellschaft schon bezahlt haben und der Staat mit ihrem Vertrieb überhaupt kein Geld verdient - sondern maximal die Kosten der Vertriebsstruktur deckt.
Sondern auch, weil die Daten durch ihren hohen Preis ausschließlich Konzernen offenstanden. Während eine zivilgesellschaftliche Initiative niemals 300k€ für sie ausgeben kann, ist das für Konzerne wie Google eine irrelevante Summe.
Die selbe App, von der selben Firma wie #CDUConnect, gibt es auch für die #Volkspartei und die #CSU.
Alle von der @pxn_digital entwickelt.
Nachdem ich gestern die Sicherheitslücke der CDU-App gemeldet habe, haben die allerdings nicht auch die anderen Apps abgeschaltet.
Sie haben also Apps mit Sicherheitslücken, von denen sie wussten, weiterlaufen lassen. Das ist nichtmehr witzig, das ist Vorsatz und somit Strafbar.
Ich habe die Wahlkampf-App der #CDU analysiert und dabei sind mir hunderttausende Datensätze zu Personen, Gesprächen, Unterstützer*innen quasi in die Hände gefallen. Sie haben vorbildlich reagiert und die App offline genommen. Das bleibt sie hoffentlich.
Betroffen sind insgesamt
- >100k Datensätze aus dem Haustürwahlkampf mit Straße, pol. Meinung der angetroffen Person, Kommentaren,…
- die persönlichen Daten von >18000 Wahlkampfhelfern, mit Name, E-Mail-Adressen, Photos,…
- >1000 Datensätze von potenziellen Unterstützer*innen
Ihr mögt es doch auch, wenn eure politische Meinung im PHP-Script der #CDU mit aktiviertem Logging landet?
Momentan gibt es 2275 User, die ihren Score auf dem @connectcdu Leaderboard veröffentlicht haben. Diese haben zusammen 34928192 Punkte. Ein Hausbesuch gibt 50 Punkte. Vandalismusbericht 200.
34928192 / 50 = 698563🤔🤡 (Das wären im Durchschnitt 307 Hausbesuche pro aktivem User…)
Die großartige @anked hat heute über die #Datenstrategie bzw. die "Daten-Nottodo-Liste der #CDU" und die Fails rund um das #OZG (Dashboard) im Bundestag gesprochen 🎉.
Wir brauchen endlich transparente KPIs zur Umsetzung von staatl Digitalisierung in DE! bundestag.de/mediathek?vide…
Auch beim Portalverbund bin ich zu 100% ihrer Meinung. Die Portalwüste heute wird demnächst zur UX-Hölle. Mir erschließt sich nicht, warum der IT-Planungsrat sich nicht einfach zu offenen & standardisierten Schnittstellen als Voraussetzung für die Umsetzung durchringen kann.
Genau diese Schnittstellen werden benötigen, um ein gutes & übergreifendes Bürger*innenportal zu schaffen. Und ja, das geht auch mit dezentraler Datenhaltung - in sicher & Ende-zu-Ende-Verschlüsselt (Was Verpflichtung werden muss).