Share this page!

Eva Wolfangel Profile picture
Twitter logo
23 Jun, 9 tweets, 4 min read
Hat #Doctolib nicht bemerkt, dass Millionen privater Datensätze offen im Netz standen? Das legt meine Recherche nahe, in der ich Daten verifizieren konnte. Doctolib gibt zudem weiterhin Patientendaten über Arztbesuche an Google weiter, wie wir zeigen. zeit.de/digital/datens…
Etwas Hintergrund: Eigentlich sollte das eine ganz andere Geschichte werden, in der #Doctolib nur *ein* Beispiel ist. Doch als ich das Unternehmen mit der 150-Millionen-Lücke vom CCC-Congress und den Vorwürfen der Big-Brother-Award-Jury konfrontierte, wurde es seltsam.
Das hier ist der Bericht von @chaosupdates-Mitgliedern media.ccc.de/v/rc3-11342-tu… und das hier das Video vom Big-Brother-Award: digitalcourage.video/videos/watch/8…
Der Vorfall sei „zu 100% aufgeklärt“ antwortete mir #Doctolib, es seien lediglich 45 Termine betroffen gewesen. 45 versus 150.000.000 Datensätze? Das machte mich neugierig.
Es sei „unmöglich“ dass ein „Angriff dieses Ausmaßes“ nicht entdeckt worden sei, hieß es weiter.
Im Laufe der Recherche konnte ich einige der Daten aus diesem unentdeckten Angriff einsehen und mit betroffenen Ärzten verifizieren. Daraufhin drohte mir die #Doctolib-Rechtsabteilung rechtliche Schritte an und sprach von der „Verbreitung von Unwahrheiten“.
"Von dem Vorfall, von dem der Chaos Computer Club (wenn auch unzutreffend) berichtet hat“, sei keine der von mir kontaktierten Praxen betroffen, so die #Doctolib-Rechtsabteilung weiter. Gleichzeitig bestätigten mir diese Praxen die Namen der Patienten, die mir vorlagen.
Im Zuge der Recherche konnte ich auch sehen, wie #Doctolib Facebook und Google mitteilt, dass ich (zu Recherchezwecken) zur Kinderwunschberatung gehe. Nachdem @mobilsicher über die Datenweitergabe an Facebook berichtete, wurde das gestoppt. Google bekommt die Infos aber weiterhin
Dass Daten wie mein Termin zur Kinderwunschberatung an Google gehen, habe ich gestern Abend erneut verifiziert und #Doctolib informiert. Die Antwort: Sie hätten das geprüft – es gingen keine Termindaten an Google. Doctolib liegt nun ein Screenshot vor, ich warte auf ein Statement
Und das finde ich fast das Schlimmste an der Geschichte: Nicht dass #Doctolib möglicherweise lügt, sondern dass das Unternehmen offenbar nicht nur eine riesige Sicherheitslücke übersehen hat, sondern zudem nicht einmal merkt, dass es sensible Daten an Dritte wie Google weitergibt

• • •

Missing some Tweet in this thread? You can try to force a refresh
 

Keep Current with Eva Wolfangel

Eva Wolfangel Profile picture

Stay in touch and get notified when new unrolls are available from this author!

Read all threads

This Thread may be Removed Anytime!

PDF

Twitter may remove this content at anytime! Save it as PDF for later use!

Try unrolling a thread yourself!

how to unroll video
  1. Follow @ThreadReaderApp to mention us!

  2. From a Twitter thread mention us with a keyword "unroll"
@threadreaderapp unroll

Practice here first or read more on our help page!

More from @evawolfangel

Eva Wolfangel Profile picture
19 Jun
Unglaublich. Komme mir vor wie bei „Täglich grüßt das Murmeltier“

SCHON WIEDER: CSV Injection möglich bei der #LucaApp.
Wer sich fragt, was das bedeutet: in diesem Artikel von Anfang Mai habe ich erklärt, was eine CSV-Injection ist und was die Gefahr für die Gesundheitsämter wäre: zeit.de/digital/datens…
und #LucaApp-CEO Patrick Hennig hat mir schon damals gesagt, es sei nicht möglich. Allerdings
hat @mame82 dann drei Wochen später gezeigt, dass CSV-Injections bei der #LucaApp doch möglich sind und einen Ransomware-Angriff demonstriert: zeit.de/digital/2021-0… Patrick Hennig hat wieder gesagt, das sei gelöst. Drei Wochen später hat @mame82 wieder… [repeat Thread]
Read 4 tweets
Eva Wolfangel Profile picture
26 May
Das ist krass. Nicht nur weil das eine gefährliche Lücke ist, die Gesundheitsämtern #Ransomware bescheren könnte, sondern auch, weil Nexenio seit drei Wochen (!) Bescheid weiß – und sie bis heute offen ist: #LucaApp-CEO Patrick Hennig sagte mir am 3.5., diese Lücke gebe es nicht
Das war im Rahmen dieser Recherche, in der mir Gesundheitsämter sagten, dass sie fürchten, dass die Sicherheitslücken der #LucaApp ihre eigenen Systeme unsicher machen. Genau das ist jetzt passiert, wie @mame82 zeigt.

zeit.de/digital/datens…
Entweder Patrick Hennig hat mich bewusst angelogen, was ich ihm eigentlich nicht unterstellen will. Die andere Erklärung wäre, dass #Luca es in drei Wochen nicht schafft, eine gefährliche Sicherheitslücke zu schließen - und niemanden darüber informiert. Fast noch schlimmer.
Read 11 tweets
Eva Wolfangel Profile picture
14 May
Wieder ein #LucaApp-Sicherheitslücke.
Es hieß, wir brauchen Luca, weil sich Menschen als "Donald Duck" in Papierlisten eintragen. @mame82 und andere zeigen in einem fort, dass Luca genau das NICHT löst. Und dass das System unsicher ist. Sein USP ist gestorben. Es kann weg. 1/3
In meiner Recherche habe ich erfahren, dass Gesundheitsämter diese Listen in der gesamten Pandemie kaum genutzt haben (Bodenseekreis: 3 Stück!), das sie also ohnehin kaum eine Rolle spielen. Um welchen Preis digitalisieren wir etwas, das keine Rolle spielt? 2/3
...und zwingen Menschen, ihre persönlichen Daten einem unsicheren System unzuvertrauen? Das ist völlig unverhältnismäßig. Zusammengefasst: Das Problem, das die #LucaApp vorgibt zu lösen, ist marginal. Und: DIE APP LÖST ES NICHT. Sie macht den ganzen Prozess nur unsicher. 3/3
Read 5 tweets
Eva Wolfangel Profile picture
1 Apr
Mehr als 10 Millionen für eine App, die unsere Probleme nicht löst, sondern womöglich auch noch Schaden anrichtet. Wir haben recherchiert, wie das passieren konnte. Marketing, Druck und zweifelhafte Vergabeverfahren stehen hinter dem Erfolg der #LucaApp. zeit.de/digital/datens…
Nachdem der Artikel nun hinter der Paywall und damit für viele nicht mehr zugänglich ist, schreibe ich hier eine kurze Zusammenfassung einiger der wichtigsten Punkte zum zweifelhaften Erfolg der #LucaApp per Thread (jede Menge mehr Details und Quellen im Originaltext)
Uns erschien es seltsam, dass plötzlich jede Menge Bundesländer für jede Menge Geld Lizenzen für eine App kaufen, die unsere Probleme nicht löst und die von Fachleuten als gefährlich eingestuft wird – also haben wir uns das genauer angeschaut und Bedenkliches gefunden. 1/
Read 19 tweets
Eva Wolfangel Profile picture
12 Mar
Nach vielen Interviews mit Datenschütz:innen und Expert:innen muss ich sagen: #LucaApp ist keine Lösung. Es gibt dezentrale Alternativen! Danke @privacyDE, @LilithWittmann @cccfr @Peter_Schaar @carmelatroncoso @marcelsalathe_d Stefan Brink & Marit Hansen zeit.de/digital/datens…
Das hier ist die im Artikel erwähnte datenschutzfreundliche #LucaApp-Alternative für eine EventApp. Die ist schon veröffentlicht, wir könnten sofort loslegen - auch ohne darauf warten zu müssen, bis alle Gesundheitsämter eine digitale Schnittstelle haben.
netzwoche.ch/news/2020-11-1…
Mir wird jetzt gesagt, #LucaApp nutze keine Fingerprintingdaten. Wieso stehen sie dann in der Datenschutzerklärung? (Screenshot von heute) Ich habe Patrick Hennig mehrmals gefragt, was es damit auf sich hat. Er konnte mir das nicht erklären. Woher soll das Vertrauen kommen? Image
Read 18 tweets

Did Thread Reader help you today?

Support us! We are indie developers!

This site is made by just two indie developers on a laptop doing marketing, support and development! Read more about the story.

Become a Premium Member ($3/month or $30/year) and get exclusive features!

Become Premium

Too expensive? Make a small donation by buying us coffee ($5) or help with server cost ($10)

Donate via Paypal Become our Patreon

Thank you for your support!

Follow Us on Twitter!

Like this author's thread?

Get emails when @evawolfangel has new unrolls!

Check out other threads from @evawolfangel!

Read all threads by @evawolfangel

:(