Update zur #Doctolib-Recherche: Ich habe eine lange Antwort der Berliner Datenschutzbeauftragten bekommen – unter anderem zur Frage, wieso Doctolib scheinbar damit durchkommt, 45 anstatt mehrere Millionen geleakter Datensätze zu melden. Darüber schreibe ich noch was. Eins vorab:
Die Behörde stehe oft vor dem Problem, dass ethische Hacker:innen zwar technische Dokumentationen von Sicherheitslücken ins Internet stellen, die Lücken selbst aber oft schon geschlossen seien, schreibt mir die Berliner Datenschutzbeauftragte. 2/
"Zudem genügt die technische Dokumentation allein regelmäßig nicht den gesetzlichen Anforderungen an Beweismaterial, sodass sie nur sehr eingeschränkt von der Aufsichtsbehörde verwendet werden kann." (mehr dazu wie gesagt bald) 3/
Wenn der Behörde weder die geleakten Daten vorliegen noch sie selbst die Schwachstelle dokumentieren könne, helfe eine detaillierte Dokumentation, wenn die Entdecker:innen bereit seien, ggf. als Zeug:innen aufzutreten. #Doctolib hat allerdings Verfahren gegen diese angestrengt.
Von #Doctolib selbst habe ich – nachdem am Abend vor der Veröffentlichung noch großer Gesprächsbedarf bestand von höchster Ebene – nichts mehr gehört auf meine Bitte nach einem Statement zur Datenweitergabe an Google. Diese wurde geleugnet, bis ich sie mit Screenshots belegte. 5/
Da #Doctolib alles leugnet, was man nicht direkt belegt, war die Recherche aufwendig. Mir war es wichtig, nicht wie so oft Aussage gegen Aussage zu stellen, sondern die Vorwürfe selbst zu verifizieren. Ich finde, die Öffentlichkeit hat ein Recht darauf, zu erfahren, was ist. 6/
Auf meinem eigenen Rechner mit meinen eigenen Daten nachzuvollziehen, wie umfangreich und leichtfertig #Doctolib privateste Informationen an Google und Facebook weitergibt – teils noch vor der Cookie-Einwilligung – hat mich bestürzt. 7/
Fremde Ärzte anzurufen aus dem riesigen geleakten Datensatz - den es laut #Doctolib gar nicht gibt - und sie zu bitten, für meine Recherche gegen die Schweigepflicht zu verstoßen und die mir vorliegenden Patientendaten zu bestätigen, war nicht einfach. 8/
Selbst als sich diese Ärzte an Doctolib wandten und nach der Sicherheitslücke fragten und wieso sie nicht informiert worden seien, leugnete #Doctolib die Lücke und drohte mir mit rechtlichen Schritten – anstatt die Lücke den Aufsichtsbehörden zu melden. 9/
Es bleibt spannend, welche Konsequenzen unter anderem die Berliner Senatsverwaltung für Gesundheit sowie die Aufsichtsbehörden aus dem verantwortungslosen Umgang von #Doctolib mit Patientendaten ziehen. (Bei ersterer läuft noch eine Anfrage von mir dazu.)
Vorerst danke ich allen, die mich unterstützt haben, allen voran @digitalcourage und Thilo Weichert, deren Big-Brother-Award meine Recherchen ins Rollen brachte, sowie den befragten Ärzt:innen und den anonymen Entdeckern der Sicherheitslücke für ihr Vertrauen und ihre Zeit. 12/12

• • •

Missing some Tweet in this thread? You can try to force a refresh
 

Keep Current with Eva Wolfangel

Eva Wolfangel Profile picture

Stay in touch and get notified when new unrolls are available from this author!

Read all threads

This Thread may be Removed Anytime!

PDF

Twitter may remove this content at anytime! Save it as PDF for later use!

Try unrolling a thread yourself!

how to unroll video
  1. Follow @ThreadReaderApp to mention us!

  2. From a Twitter thread mention us with a keyword "unroll"
@threadreaderapp unroll

Practice here first or read more on our help page!

More from @evawolfangel

23 Jun
Hat #Doctolib nicht bemerkt, dass Millionen privater Datensätze offen im Netz standen? Das legt meine Recherche nahe, in der ich Daten verifizieren konnte. Doctolib gibt zudem weiterhin Patientendaten über Arztbesuche an Google weiter, wie wir zeigen. zeit.de/digital/datens…
Etwas Hintergrund: Eigentlich sollte das eine ganz andere Geschichte werden, in der #Doctolib nur *ein* Beispiel ist. Doch als ich das Unternehmen mit der 150-Millionen-Lücke vom CCC-Congress und den Vorwürfen der Big-Brother-Award-Jury konfrontierte, wurde es seltsam.
Das hier ist der Bericht von @chaosupdates-Mitgliedern media.ccc.de/v/rc3-11342-tu… und das hier das Video vom Big-Brother-Award: digitalcourage.video/videos/watch/8…
Read 9 tweets
19 Jun
Unglaublich. Komme mir vor wie bei „Täglich grüßt das Murmeltier“

SCHON WIEDER: CSV Injection möglich bei der #LucaApp.
Wer sich fragt, was das bedeutet: in diesem Artikel von Anfang Mai habe ich erklärt, was eine CSV-Injection ist und was die Gefahr für die Gesundheitsämter wäre: zeit.de/digital/datens…
und #LucaApp-CEO Patrick Hennig hat mir schon damals gesagt, es sei nicht möglich. Allerdings
hat @mame82 dann drei Wochen später gezeigt, dass CSV-Injections bei der #LucaApp doch möglich sind und einen Ransomware-Angriff demonstriert: zeit.de/digital/2021-0… Patrick Hennig hat wieder gesagt, das sei gelöst. Drei Wochen später hat @mame82 wieder… [repeat Thread]
Read 4 tweets
26 May
Das ist krass. Nicht nur weil das eine gefährliche Lücke ist, die Gesundheitsämtern #Ransomware bescheren könnte, sondern auch, weil Nexenio seit drei Wochen (!) Bescheid weiß – und sie bis heute offen ist: #LucaApp-CEO Patrick Hennig sagte mir am 3.5., diese Lücke gebe es nicht
Das war im Rahmen dieser Recherche, in der mir Gesundheitsämter sagten, dass sie fürchten, dass die Sicherheitslücken der #LucaApp ihre eigenen Systeme unsicher machen. Genau das ist jetzt passiert, wie @mame82 zeigt.

zeit.de/digital/datens…
Entweder Patrick Hennig hat mich bewusst angelogen, was ich ihm eigentlich nicht unterstellen will. Die andere Erklärung wäre, dass #Luca es in drei Wochen nicht schafft, eine gefährliche Sicherheitslücke zu schließen - und niemanden darüber informiert. Fast noch schlimmer.
Read 11 tweets
14 May
Wieder ein #LucaApp-Sicherheitslücke.
Es hieß, wir brauchen Luca, weil sich Menschen als "Donald Duck" in Papierlisten eintragen. @mame82 und andere zeigen in einem fort, dass Luca genau das NICHT löst. Und dass das System unsicher ist. Sein USP ist gestorben. Es kann weg. 1/3
In meiner Recherche habe ich erfahren, dass Gesundheitsämter diese Listen in der gesamten Pandemie kaum genutzt haben (Bodenseekreis: 3 Stück!), das sie also ohnehin kaum eine Rolle spielen. Um welchen Preis digitalisieren wir etwas, das keine Rolle spielt? 2/3
...und zwingen Menschen, ihre persönlichen Daten einem unsicheren System unzuvertrauen? Das ist völlig unverhältnismäßig. Zusammengefasst: Das Problem, das die #LucaApp vorgibt zu lösen, ist marginal. Und: DIE APP LÖST ES NICHT. Sie macht den ganzen Prozess nur unsicher. 3/3
Read 5 tweets
1 Apr
Mehr als 10 Millionen für eine App, die unsere Probleme nicht löst, sondern womöglich auch noch Schaden anrichtet. Wir haben recherchiert, wie das passieren konnte. Marketing, Druck und zweifelhafte Vergabeverfahren stehen hinter dem Erfolg der #LucaApp. zeit.de/digital/datens…
Nachdem der Artikel nun hinter der Paywall und damit für viele nicht mehr zugänglich ist, schreibe ich hier eine kurze Zusammenfassung einiger der wichtigsten Punkte zum zweifelhaften Erfolg der #LucaApp per Thread (jede Menge mehr Details und Quellen im Originaltext)
Uns erschien es seltsam, dass plötzlich jede Menge Bundesländer für jede Menge Geld Lizenzen für eine App kaufen, die unsere Probleme nicht löst und die von Fachleuten als gefährlich eingestuft wird – also haben wir uns das genauer angeschaut und Bedenkliches gefunden. 1/
Read 19 tweets
12 Mar
Nach vielen Interviews mit Datenschütz:innen und Expert:innen muss ich sagen: #LucaApp ist keine Lösung. Es gibt dezentrale Alternativen! Danke @privacyDE, @LilithWittmann @cccfr @Peter_Schaar @carmelatroncoso @marcelsalathe_d Stefan Brink & Marit Hansen zeit.de/digital/datens…
Das hier ist die im Artikel erwähnte datenschutzfreundliche #LucaApp-Alternative für eine EventApp. Die ist schon veröffentlicht, wir könnten sofort loslegen - auch ohne darauf warten zu müssen, bis alle Gesundheitsämter eine digitale Schnittstelle haben.
netzwoche.ch/news/2020-11-1…
Mir wird jetzt gesagt, #LucaApp nutze keine Fingerprintingdaten. Wieso stehen sie dann in der Datenschutzerklärung? (Screenshot von heute) Ich habe Patrick Hennig mehrmals gefragt, was es damit auf sich hat. Er konnte mir das nicht erklären. Woher soll das Vertrauen kommen? Image
Read 18 tweets

Did Thread Reader help you today?

Support us! We are indie developers!


This site is made by just two indie developers on a laptop doing marketing, support and development! Read more about the story.

Become a Premium Member ($3/month or $30/year) and get exclusive features!

Become Premium

Too expensive? Make a small donation by buying us coffee ($5) or help with server cost ($10)

Donate via Paypal Become our Patreon

Thank you for your support!

Follow Us on Twitter!

:(