Hat #Doctolib nicht bemerkt, dass Millionen privater Datensätze offen im Netz standen? Das legt meine Recherche nahe, in der ich Daten verifizieren konnte. Doctolib gibt zudem weiterhin Patientendaten über Arztbesuche an Google weiter, wie wir zeigen. zeit.de/digital/datens…
Etwas Hintergrund: Eigentlich sollte das eine ganz andere Geschichte werden, in der #Doctolib nur *ein* Beispiel ist. Doch als ich das Unternehmen mit der 150-Millionen-Lücke vom CCC-Congress und den Vorwürfen der Big-Brother-Award-Jury konfrontierte, wurde es seltsam.
Der Vorfall sei „zu 100% aufgeklärt“ antwortete mir #Doctolib, es seien lediglich 45 Termine betroffen gewesen. 45 versus 150.000.000 Datensätze? Das machte mich neugierig.
Es sei „unmöglich“ dass ein „Angriff dieses Ausmaßes“ nicht entdeckt worden sei, hieß es weiter.
Im Laufe der Recherche konnte ich einige der Daten aus diesem unentdeckten Angriff einsehen und mit betroffenen Ärzten verifizieren. Daraufhin drohte mir die #Doctolib-Rechtsabteilung rechtliche Schritte an und sprach von der „Verbreitung von Unwahrheiten“.
"Von dem Vorfall, von dem der Chaos Computer Club (wenn auch unzutreffend) berichtet hat“, sei keine der von mir kontaktierten Praxen betroffen, so die #Doctolib-Rechtsabteilung weiter. Gleichzeitig bestätigten mir diese Praxen die Namen der Patienten, die mir vorlagen.
Im Zuge der Recherche konnte ich auch sehen, wie #Doctolib Facebook und Google mitteilt, dass ich (zu Recherchezwecken) zur Kinderwunschberatung gehe. Nachdem @mobilsicher über die Datenweitergabe an Facebook berichtete, wurde das gestoppt. Google bekommt die Infos aber weiterhin
Dass Daten wie mein Termin zur Kinderwunschberatung an Google gehen, habe ich gestern Abend erneut verifiziert und #Doctolib informiert. Die Antwort: Sie hätten das geprüft – es gingen keine Termindaten an Google. Doctolib liegt nun ein Screenshot vor, ich warte auf ein Statement
Und das finde ich fast das Schlimmste an der Geschichte: Nicht dass #Doctolib möglicherweise lügt, sondern dass das Unternehmen offenbar nicht nur eine riesige Sicherheitslücke übersehen hat, sondern zudem nicht einmal merkt, dass es sensible Daten an Dritte wie Google weitergibt
• • •
Missing some Tweet in this thread? You can try to
force a refresh
Wer sich fragt, was das bedeutet: in diesem Artikel von Anfang Mai habe ich erklärt, was eine CSV-Injection ist und was die Gefahr für die Gesundheitsämter wäre: zeit.de/digital/datens…
und #LucaApp-CEO Patrick Hennig hat mir schon damals gesagt, es sei nicht möglich. Allerdings
hat @mame82 dann drei Wochen später gezeigt, dass CSV-Injections bei der #LucaApp doch möglich sind und einen Ransomware-Angriff demonstriert: zeit.de/digital/2021-0… Patrick Hennig hat wieder gesagt, das sei gelöst. Drei Wochen später hat @mame82 wieder… [repeat Thread]
Das ist krass. Nicht nur weil das eine gefährliche Lücke ist, die Gesundheitsämtern #Ransomware bescheren könnte, sondern auch, weil Nexenio seit drei Wochen (!) Bescheid weiß – und sie bis heute offen ist: #LucaApp-CEO Patrick Hennig sagte mir am 3.5., diese Lücke gebe es nicht
Das war im Rahmen dieser Recherche, in der mir Gesundheitsämter sagten, dass sie fürchten, dass die Sicherheitslücken der #LucaApp ihre eigenen Systeme unsicher machen. Genau das ist jetzt passiert, wie @mame82 zeigt.
Entweder Patrick Hennig hat mich bewusst angelogen, was ich ihm eigentlich nicht unterstellen will. Die andere Erklärung wäre, dass #Luca es in drei Wochen nicht schafft, eine gefährliche Sicherheitslücke zu schließen - und niemanden darüber informiert. Fast noch schlimmer.
Wieder ein #LucaApp-Sicherheitslücke.
Es hieß, wir brauchen Luca, weil sich Menschen als "Donald Duck" in Papierlisten eintragen. @mame82 und andere zeigen in einem fort, dass Luca genau das NICHT löst. Und dass das System unsicher ist. Sein USP ist gestorben. Es kann weg. 1/3
In meiner Recherche habe ich erfahren, dass Gesundheitsämter diese Listen in der gesamten Pandemie kaum genutzt haben (Bodenseekreis: 3 Stück!), das sie also ohnehin kaum eine Rolle spielen. Um welchen Preis digitalisieren wir etwas, das keine Rolle spielt? 2/3
...und zwingen Menschen, ihre persönlichen Daten einem unsicheren System unzuvertrauen? Das ist völlig unverhältnismäßig. Zusammengefasst: Das Problem, das die #LucaApp vorgibt zu lösen, ist marginal. Und: DIE APP LÖST ES NICHT. Sie macht den ganzen Prozess nur unsicher. 3/3
Mehr als 10 Millionen für eine App, die unsere Probleme nicht löst, sondern womöglich auch noch Schaden anrichtet. Wir haben recherchiert, wie das passieren konnte. Marketing, Druck und zweifelhafte Vergabeverfahren stehen hinter dem Erfolg der #LucaApp. zeit.de/digital/datens…
Nachdem der Artikel nun hinter der Paywall und damit für viele nicht mehr zugänglich ist, schreibe ich hier eine kurze Zusammenfassung einiger der wichtigsten Punkte zum zweifelhaften Erfolg der #LucaApp per Thread (jede Menge mehr Details und Quellen im Originaltext)
Uns erschien es seltsam, dass plötzlich jede Menge Bundesländer für jede Menge Geld Lizenzen für eine App kaufen, die unsere Probleme nicht löst und die von Fachleuten als gefährlich eingestuft wird – also haben wir uns das genauer angeschaut und Bedenkliches gefunden. 1/
Das hier ist die im Artikel erwähnte datenschutzfreundliche #LucaApp-Alternative für eine EventApp. Die ist schon veröffentlicht, wir könnten sofort loslegen - auch ohne darauf warten zu müssen, bis alle Gesundheitsämter eine digitale Schnittstelle haben. netzwoche.ch/news/2020-11-1…
Mir wird jetzt gesagt, #LucaApp nutze keine Fingerprintingdaten. Wieso stehen sie dann in der Datenschutzerklärung? (Screenshot von heute) Ich habe Patrick Hennig mehrmals gefragt, was es damit auf sich hat. Er konnte mir das nicht erklären. Woher soll das Vertrauen kommen?