Landesportal Baden Württemberg - da wo Developer glauben, ich hätte nicht die Zeit, ihren #JWT aus dem Screenshoot in der Doku mit der Font, in der l und I exact gleich aussehen, abzutippen. 🙃 Image
Gut das ich tatsächlich zu faul bin, solange mit Bildbearbeitung zu spielen, bis ich das verpixelte Passwort lesen kann. 😂 Image
Das ist der Zuständigkeitsfinder (#Xzufi) der Verwaltung des Landes-BW. Darüber können Gemeinden #ozg Formulare und Leistungen für Ihre Region "anmelden". Wenn ich also Zugriff auf die Schnittstelle habe, könnte ich Fake-Formulare erstellen und verbreiten.
Da es leider momentan keine Signaturen oder gar Ende-zu-Ende-Verschlüsselung gibt, sondern man einfach nur eine URL angibt, die dann irgendwo eingebunden wird, würde das nichtmal jemanden auffallen.
Die komplette Sicherheit der #ozg Infrastruktu von BW hängt eigentlich daran.
Ich schaue mir das allerdings primär an, weil ich glaube, das die Daten, die die API herausgibt, #OpenData sein sollten.
Also strukturierten Informationen wie "Welche Behörde ist für was zuständig".
sgw.service-bw.de/rest-documenta…

• • •

Missing some Tweet in this thread? You can try to force a refresh
 

Keep Current with Lilith Wittmann

Lilith Wittmann Profile picture

Stay in touch and get notified when new unrolls are available from this author!

Read all threads

This Thread may be Removed Anytime!

PDF

Twitter may remove this content at anytime! Save it as PDF for later use!

Try unrolling a thread yourself!

how to unroll video
  1. Follow @ThreadReaderApp to mention us!

  2. From a Twitter thread mention us with a keyword "unroll"
@threadreaderapp unroll

Practice here first or read more on our help page!

More from @LilithWittmann

2 Jun
"Wir bauen 1 Produkt für Rentner*innen, wie sollen wir denn da auch darauf kommen, das #Accessibility wichtig ist?!?! "😂
Steuerlotse Fragebogen-Webs...
Nehme wetten an, welche Begründung gleich kommt:
Also ich würde jetzt gerne noch irgendwas positives dazu schreiben. Aber nichts daran wirkt sinnvoll. Ich möchte hiermit anzweifeln, das überhaupt irgendwie UX-Research in der Zielgruppe gemacht wurde und nein #BMF-Beamten kurz vor der Rente zählen nicht dazu. 🤡
Read 4 tweets
21 May
Wenn ihr auch mal >20 Millionen Geodatensätze, Hausumringe, … befreien wollt. Die “Hackertools” dafür sind auch auf GitHub:

github.com/LilithWittmann….
Staatliche, kommerziell vertriebene Geodaten sind aus so vielen Perspektiven problematisch: Nicht nur, das wir sie als Gesellschaft schon bezahlt haben und der Staat mit ihrem Vertrieb überhaupt kein Geld verdient - sondern maximal die Kosten der Vertriebsstruktur deckt.
Sondern auch, weil die Daten durch ihren hohen Preis ausschließlich Konzernen offenstanden. Während eine zivilgesellschaftliche Initiative niemals 300k€ für sie ausgeben kann, ist das für Konzerne wie Google eine irrelevante Summe.
Read 13 tweets
13 May
Wenn die @CSU und die @volkspartei digitalen Wahlkampf machen… oder auch “it was so nice I did it twice”.
lilithwittmann.medium.com/wenn-die-csu-u…
Die selbe App, von der selben Firma wie #CDUConnect, gibt es auch für die #Volkspartei und die #CSU.
Alle von der @pxn_digital entwickelt.
Nachdem ich gestern die Sicherheitslücke der CDU-App gemeldet habe, haben die allerdings nicht auch die anderen Apps abgeschaltet.
Sie haben also Apps mit Sicherheitslücken, von denen sie wussten, weiterlaufen lassen. Das ist nichtmehr witzig, das ist Vorsatz und somit Strafbar.
Read 5 tweets
12 May
Wenn die #CDU den Wahlkampf digitalisiert… dann endet das in Datenabfluss.
lilithwittmann.medium.com/wenn-die-cdu-i…
Ich habe die Wahlkampf-App der #CDU analysiert und dabei sind mir hunderttausende Datensätze zu Personen, Gesprächen, Unterstützer*innen quasi in die Hände gefallen. Sie haben vorbildlich reagiert und die App offline genommen. Das bleibt sie hoffentlich.
Betroffen sind insgesamt
- >100k Datensätze aus dem Haustürwahlkampf mit Straße, pol. Meinung der angetroffen Person, Kommentaren,…
- die persönlichen Daten von >18000 Wahlkampfhelfern, mit Name, E-Mail-Adressen, Photos,…
- >1000 Datensätze von potenziellen Unterstützer*innen
Read 6 tweets
11 May
Hmm. Ob mein CURL-Script, dieses Jahr die beste Wahlkämpferin für die #CDU wird?
Image
Ihr mögt es doch auch, wenn eure politische Meinung im PHP-Script der #CDU mit aktiviertem Logging landet? ImageImage
Momentan gibt es 2275 User, die ihren Score auf dem @connectcdu Leaderboard veröffentlicht haben. Diese haben zusammen 34928192 Punkte. Ein Hausbesuch gibt 50 Punkte. Vandalismusbericht 200.
34928192 / 50 = 698563🤔🤡 (Das wären im Durchschnitt 307 Hausbesuche pro aktivem User…)
Read 4 tweets
11 Feb
Die großartige @anked hat heute über die #Datenstrategie bzw. die "Daten-Nottodo-Liste der #CDU" und die Fails rund um das #OZG (Dashboard) im Bundestag gesprochen 🎉.
Wir brauchen endlich transparente KPIs zur Umsetzung von staatl Digitalisierung in DE!
bundestag.de/mediathek?vide…
Auch beim Portalverbund bin ich zu 100% ihrer Meinung. Die Portalwüste heute wird demnächst zur UX-Hölle. Mir erschließt sich nicht, warum der IT-Planungsrat sich nicht einfach zu offenen & standardisierten Schnittstellen als Voraussetzung für die Umsetzung durchringen kann.
Genau diese Schnittstellen werden benötigen, um ein gutes & übergreifendes Bürger*innenportal zu schaffen. Und ja, das geht auch mit dezentraler Datenhaltung - in sicher & Ende-zu-Ende-Verschlüsselt (Was Verpflichtung werden muss).
Read 4 tweets

Did Thread Reader help you today?

Support us! We are indie developers!


This site is made by just two indie developers on a laptop doing marketing, support and development! Read more about the story.

Become a Premium Member ($3/month or $30/year) and get exclusive features!

Become Premium

Too expensive? Make a small donation by buying us coffee ($5) or help with server cost ($10)

Donate via Paypal Become our Patreon

Thank you for your support!

Follow Us on Twitter!

:(