Share this page!

Manuel Atug Profile picture
Twitter logo
1 Jun, 11 tweets, 6 min read
Schon wieder desaströse #Sicherheitslücke in #LucaApp

"Die Kette von Sicherheitslücken bei der Luca App hört nicht auf. Ein Hacker hat nun gezeigt, wie er als Luca-Nutzer die Daten anderer Nutzer:innen der App stehlen kann." /1
netzpolitik.org/2021/it-sicher…
"Auch möglich sind weitere Angriffe wie zum Beispiel ganze Rechner beim Gesundheitsamt mit Ransomware zu verschlüsseln, weil Angreifer Code ausführen können." /2
"Schon vor drei Wochen hatte @evawolfangel auf @zeitonline auf die Möglichkeit einer Code Injection hingewiesen." /3
zeit.de/digital/datens…
"Der Vorstand von Nexenio, der Firma hinter der #LucaApp, hatte eine #Sicherheitslücke damals abgestritten. Kurz danach hatten die Entwickler allerdings Änderungen am Code vorgenommen, um eine Code Injection zu vermeiden. Das jedoch ohne Erfolg, wie der aktuelle Hack zeigt." /4
"Die neuerliche #Sicherheitslücke reiht sich ein in eine lange Kette von Fehlern, die das Unternehmen gemacht aber nie zugegeben hat." /5
"@Linuzifer, Sprecher des #CCC, hat genau die Reaktion erwartet...„Wie immer wurde das Risiko herunter gespielt und die #Schwachstelle sogar geleugnet. Die Schwachstellen sind eklatant, der Umgang damit katastrophal. Dieses Unternehmen hat kein Vertrauen verdient.“" /6
"„Es wird langsam Zeit, die Verträge wegen mangelhafter Leistung abzuwickeln und die #LucaApp zu beerdigen“, so @Linuzifer weiter. Die ganze Sache sei eine Blamage für jedes einzelne Bundesland, das Verträge mit den Betreibern der Luca App geschlossen habe." /7
"Der #CCC hatte schon vor mehr als einem Monat dazu aufgerufen, aufgrund der Mängel, Schwächen und #Sicherheitslücken, die Notbremse zu ziehen und das Projekt zu stoppen." /8
ccc.de/de/updates/202…
"Auch das große Versprechen der #LucaApp, die Arbeit der Gesundheitsämter zu erleichtern ist nicht eingelöst, denn diese nutzen Luca kaum. Die Bundesländer haben bislang Verträge in Höhe von fast 22 Mio € für eine 1jährige Lizenz zur Nutzung der Luca App abgeschlossen." /9
"Dass letztlich ihre Programmierung die Sicherheitslücke bedingte, gibt #LucaApp nicht zu, verweist aber auf ein Update, das die Lücke nun schließt." /10
"Auf die Frage von @netzpolitik_org, warum die Lücke nicht nach den ersten Hinweisen auf Zeit Online vor 3 Wochen geschlossen wurde, antwortete der #LucaApp-Sprecher nicht." /11

• • •

Missing some Tweet in this thread? You can try to force a refresh
 

Keep Current with Manuel Atug

Manuel Atug Profile picture

Stay in touch and get notified when new unrolls are available from this author!

Read all threads

This Thread may be Removed Anytime!

PDF

Twitter may remove this content at anytime! Save it as PDF for later use!

Try unrolling a thread yourself!

how to unroll video
  1. Follow @ThreadReaderApp to mention us!

  2. From a Twitter thread mention us with a keyword "unroll"
@threadreaderapp unroll

Practice here first or read more on our help page!

More from @HonkHase

Manuel Atug Profile picture
2 Jun
Stand heute kann zB eine nexenio eine #LucaApp offenbar ohne Software-Entwicklungsprozesse, ohne Testprozesse und Seniorentwickler als auch ohnr SW-Architekten entwickeln und dem Staat im Abo vermieten.

Merkt ihr, wie kaputt die IT-Gesetzgebung ist? 🤔

Gucken wir mal genauer /1
Datenschutz allein als die "rettende Instanz" langt einfach nicht! Das ist ein anderes Ziel als das Ziel IT-Sicherheit.

Sieht man zB auch am #ITSIG20, welches von Erhöhung der IT-Sicherheit spricht, aber zu einem Compliance Bürokratiemonster zerfallen ist. /2
Oder der Cybersecuritystrategie 2016, die schlicht keine Strategie enthält, sondern einen gewürfelten Haufen Massnahmen ohne KPIs usw. entspricht.

Und ja, die #CSS2016 wird als #CSS2021 aufgrund der komischen Methode des aktualisierens genauso wie das #ITSIG20 enden. /3
Read 4 tweets
Manuel Atug Profile picture
28 May
*s0ifz*

Das #ITSIG20 tritt ab heute in Kraft.

Und dass mir keiner sagt, ich hätte euch nicht gewarnt, dass es mit dem Schutz von #KRITIS abwärts geht. 😒 /1
bundesrat.de/DE/plenum/bund…
Hier die finale Version des #ITSIG20 /2
bgbl.de/xaver/bgbl/sta…
Hier meine Stellungnahme als Sachverständiger der @AG_KRITIS im Ausschuss für Inneres und Heimat zur erfolgten Anhörung zum Entwurf des IT-Sicherheitsgesetz 2.0. /3
ag.kritis.info/2021/03/01/ste…
Read 5 tweets
Manuel Atug Profile picture
26 May
"#Hackback statt #Cyberresilienz"

Mein Editorial in der aktuellen @iXmagazin Ausgabe
heise.de/select/ix/2021…
"Wie schützt der Staat unsere kritische Infrastruktur? Sicherheitsbehörden und @BMI_Bund fordern weiterhin Staatstrojaner und mehr Befugnisse, um im Hackback - also mit invasiven Eingriffen in fremde Computersysteme - das offensive Heilsversprechen der Gefahrenabwehr zu finden."
"Mein Vorratskeller jedenfalls ist gemäß der Checkliste für Notfälle des @BBK_Bund gefüllt und ich richte mich auf Eigenvorsorge ein. Denn „Cyberwinter is coming“ und wir sind auf uns allein gestellt ..."
Read 4 tweets
Manuel Atug Profile picture
26 May
Hacker können Gesundheitsämter über Luca angreifen

"Die #LucaApp liefert Daten ans Gesundheitsamt. Sicherheitsexperten zeigen nun: Darin lässt sich Quellcode verstecken, der potenziell ganze Behörden lahmlegen könnte"

Von @evawolfangel via @zeitonline /1
zeit.de/digital/2021-0…
"All das ist auch deshalb bemerkenswert, weil Patrick Hennig, der CEO von Nexenio, der Firma, die #LucaApp entwickelt hatte, vor einigen Wochen auf Nachfrage sagte, eine solche Attacke sei nicht möglich" /2
zeit.de/digital/datens…
"Die getroffenen Vorkehrungen sind allerdings lückenhaft. "Das zeigt, dass sie das Problem nicht verstanden haben", sagt @mame82." /3
Read 10 tweets
Manuel Atug Profile picture
26 May
Leere Behauptungen von #LucaApp
Luca-CEO Patrick Hennig:

"Gefährlich sei das nicht: "Eine Code Injection über den Namen ist bei Luca im Gesundheitsamt nicht möglich." /1
"Sollte...Schadcode enthalten sein, werde dieser von React – der dahinterliegenden Software-Bibliothek, die #LucaApp nutze – entsprechend behandelt und "sichergestellt, dass hier kein Schaden entsteht"."

Äh kurz mal überlegen: nöpps! Ist nicht so. 🤷‍♂️ /2
zeit.de/digital/datens…
Beweisvideo von @mame82 /3
Read 4 tweets
Manuel Atug Profile picture
26 May
Videobeweis:
How to #Ransomware via CSV-Export in deutschen Gesundheitsämtern durch #LucaApp Nutzer als Angreifer 😳

"LucaApp Sicherheitslücke (Video):
Luca-Nutzer greift Gesundheitsamt mittels manipulierter Kontakdaten..."

Kudos @mame82 👌 /1
* Diebstahl der Daten weiterer Nutzer möglich
* Remote Code Execution machbar

Also einmal alles. uFF.

Was sagen die Macher hinter #LucaApp dazu? Well... /2
Nexenio weiss seit über 3 Wochen(!) davon!

#LucaApp-CEO Patrick Hennig hatte in diesem Interview mit @evawolfangel in der @zeitonline am 3.5.2021 dargelegt "diese Lücke gebe es nicht". /3
zeit.de/digital/datens…
Read 7 tweets

Did Thread Reader help you today?

Support us! We are indie developers!

This site is made by just two indie developers on a laptop doing marketing, support and development! Read more about the story.

Become a Premium Member ($3/month or $30/year) and get exclusive features!

Become Premium

Too expensive? Make a small donation by buying us coffee ($5) or help with server cost ($10)

Donate via Paypal Become our Patreon

Thank you for your support!

Follow Us on Twitter!

Like this author's thread?

Get emails when @HonkHase has new unrolls!

Check out other threads from @HonkHase!

Read all threads by @HonkHase

:(