Share this page!

Marcus Mengs Profile picture
Twitter logo
11 Jul, 3 tweets, 2 min read
Wisst ihr noch: @janboehm mit #LucaApp im Zoo von Osnabrück?
War ja "Missbrauch"!
Deshalb checkt man nun 1500 echte Leute in örtlichen Club ein... Masken ab, App macht's möglich!

Niederlande feiern auch mit (man hat ja bereits "positive" Cluberfahrungen)

Was passiert eigentlich, wenn das Gesundheitsamt Osnabrück die Gästeliste abruft? Schickt man die dann per Fax nach NRW und in die Niederlande oder telefoniert man die 1500 Gäste von Osnabrück aus ab? Image
Der Club ist auch ein gutes Beispiel dafür, warum die #LucaApp Downloadzahlen (trotz schlechter App Bewertung) steigen:

"Eintritt NUR MIT installierter Luca App".

Davor hat nicht nur @anked gewarnt

• • •

Missing some Tweet in this thread? You can try to force a refresh
 

Keep Current with Marcus Mengs

Marcus Mengs Profile picture

Stay in touch and get notified when new unrolls are available from this author!

Read all threads

This Thread may be Removed Anytime!

PDF

Twitter may remove this content at anytime! Save it as PDF for later use!

Try unrolling a thread yourself!

how to unroll video
  1. Follow @ThreadReaderApp to mention us!

  2. From a Twitter thread mention us with a keyword "unroll"
@threadreaderapp unroll

Practice here first or read more on our help page!

More from @mame82

Marcus Mengs Profile picture
3 Jul
Me: #LucaApp Kontaktdaten und Checkins können eindeutig zu Smartphones zugeordnet werden.

Hersteller: Nö, höchstens unter "Laborbedingungen".

Me: No, wurde an Production System belegt.

Hersteller: Wenn du die App Nutzung einstellst, löschen wir zugeordnete Kontaktdaten

🤪🤯 ImageImage
Ernsthaft: Unzählige Nutzer haben die App (wegen Fehlern) mehrfach neuinstalliert und dabei jedes Mal einen neuen Account angelegt.

Wie wurden die verschlüsselten Kontaktdaten denn zugeordnet, um sie zu löschen?

Immerhin gibt es ja jetzt einen "löschen" Button in der App
Hinweis:

Wer seine Daten mit einem Schlüsselanhänger registriert hat, hat übrigens keinen "löschen" Button.

Man könnte zwar den Betreiber - unter Angabe der Seriennummer- bitten zu löschen, dabei teilt man aber das Kennwort zu den verschlüsselten Kontaktdaten mit.

🤪🤯🤪
Read 6 tweets
Marcus Mengs Profile picture
29 Jun
@gnirbel @markus_bublitz @cccfr @patrick_hennig @alvar_f @HonkHase @LoeweHeinz @AllenRe97883617 @BergerPhilipp @_lucaApp Ich greife die Aussagen gerne auf, weil hier (wie so oft) Fakten vermischt und in teilen falsch dargestellt werden.

Zunächst diese:
@gnirbel @markus_bublitz @cccfr @patrick_hennig @alvar_f @HonkHase @LoeweHeinz @AllenRe97883617 @BergerPhilipp @_lucaApp Die Aussagen beziehen sich auf den Fakt, dass ein Beobachter des Netzwerkverkehrs am Backend (Angreifer, Innentäter, Intermediaries mit Logging Funktionalität) die im Bild gezeigten Ableitungen treffen kann.
Verschlüsselte Daten haben hierbei keine Relevanz!
@gnirbel @markus_bublitz @cccfr @patrick_hennig @alvar_f @HonkHase @LoeweHeinz @AllenRe97883617 @BergerPhilipp @_lucaApp "hohem Aufwand": der Aufwand ist gering, es wurde lediglich Netzwerkverkehr betrachtet, also passiv (außehalb der Transportverschlüsselung, so wie dieser innerhalb der Luca-Infrastruktur auf Betreiber-Seite anfällt - ab dem terminierenden TLS Proxy)
Read 26 tweets
Marcus Mengs Profile picture
29 Jun
@alvar_f @HonkHase @LoeweHeinz @gnirbel @AllenRe97883617 @BergerPhilipp @patrick_hennig @_lucaApp Ah, Risk-Management und -Analysis. ... eine bessere Basis!

Du lenkst den Fokus damit auf abstrakte Risiken, wie Infiltration des Systems durch Angreifer oder Missbrauch durch Innentäter.

Das gute: auch solche Risiken müssen qunatifiziert werden ...
@alvar_f @HonkHase @LoeweHeinz @gnirbel @AllenRe97883617 @BergerPhilipp @patrick_hennig @_lucaApp ... insbesondere da der Schutzbedarf für alle Schutzziele mindestens "HOCH" sein dürfte (wir kennen ja das SiKo nicht).

Möchtest du solche Risiken bewerten, betrachtest du zunächst mal die Eintrittswahrscheinlichkeit. Die dürfte im Falle "luca" für erfolgreiche Angriffe ...
@alvar_f @HonkHase @LoeweHeinz @gnirbel @AllenRe97883617 @BergerPhilipp @patrick_hennig @_lucaApp vergleichsweise hoch sein, denn das System ist bisher permanent und kontinuierlich durch technische Mängel aufgefallen.
Gleichzeitig bietet es ein "high value target" für Angreifer und es darf angenommen werden, das Informationsgewinnung/Beschaffung eher das Ziel sind als ...
Read 8 tweets
Marcus Mengs Profile picture
27 Jun
@alvar_f @HonkHase @LoeweHeinz @gnirbel @AllenRe97883617 @BergerPhilipp @patrick_hennig @_lucaApp Ja wenn man ihn nicht im Kontext der Möglichkeiten betrachtet, die er hier eröffnet, mag das sogar vertretbar sein.

Es ist aber auch einer der Belege dafür, dass die vorliegenden Bewertungen der Datenschützer "irrelevant" sind, wenn man wissen möchte, ob ...
@alvar_f @HonkHase @LoeweHeinz @gnirbel @AllenRe97883617 @BergerPhilipp @patrick_hennig @_lucaApp ... das System "luca" geeignete Maßnahmen ansetzt, um die zu verarbeitenden Daten zu schützen (oder es vielleicht wenigstens schafft die wenigen selbst definierten "security objectives" zu erfüllen)!
@alvar_f @HonkHase @LoeweHeinz @gnirbel @AllenRe97883617 @BergerPhilipp @patrick_hennig @_lucaApp I know, I know ... soll sich Berlin drum kümmern.

Klappt bestimmt vielleicht bevor das erste Lizensierungsjahr endet. Solange kannst du weiter versuchen technische Faktenlage in "Fundamentalkritik" umzudeklarieren.
Read 6 tweets
Marcus Mengs Profile picture
27 Jun
@alvar_f @HonkHase @LoeweHeinz @gnirbel @AllenRe97883617 @BergerPhilipp @patrick_hennig @_lucaApp Und ich werde auch keine Kryptoanalyse schreiben ... nicht nur weil ich kein Kryptologe bin, sondern weil der Großteil der relevanten Informationen UNVERSCHLÜSSELT am Backend anfallen.
@alvar_f @HonkHase @LoeweHeinz @gnirbel @AllenRe97883617 @BergerPhilipp @patrick_hennig @_lucaApp Bekannt und korrelierbar sind Telefonnummer, Checkinhistorie, Abfragestatus Gesundheitsamt der Systemteilnehmer.

Die einzigen Informationen die das Backend nicht ohne weiteres lernen kann, sind die nicht anderweitig bekanntgewordenen Kontaktdatenanteile (Name, Adresse).
@alvar_f @HonkHase @LoeweHeinz @gnirbel @AllenRe97883617 @BergerPhilipp @patrick_hennig @_lucaApp Für die genannten verbleibenden Kontaktdatenanteile (Name, Adresse) hat wiederum das "asymnetrische Krypto-Kungfu" keine Relevanz, da sie SYMMETRISCH verschlüsselt auf dem Server abgelegt und mit einer UserID assoziiert werden.
Read 13 tweets
Marcus Mengs Profile picture
25 Jun
Okay, das #LucaApp Thema verfolgt mich.

Erkenntnis: Auch in Bayern versagen die Datenschützer, hab die Details unter den Thread von @kcotsneb gepackt.

... Wiederhole mich aber nur noch sinnlos. Der BayLDA ist sicher nicht blind, schaut aber in die falsche Richtung.
@HonkHase

Ich würde es so beschreiben:

Du bist Datenschützer, hast dich aber entschlossen Sicherheitsmängel im #LucaApp Quellcode zu suchen. Leider übersiehst du dabei die Datenschutzmängel (die schon belegt wurden) und kannst auch die Sicherheitsmängel nicht finden.
👍
Kontext:

Read 4 tweets

Did Thread Reader help you today?

Support us! We are indie developers!

This site is made by just two indie developers on a laptop doing marketing, support and development! Read more about the story.

Become a Premium Member ($3/month or $30/year) and get exclusive features!

Become Premium

Too expensive? Make a small donation by buying us coffee ($5) or help with server cost ($10)

Donate via Paypal Become our Patreon

Thank you for your support!

Follow Us on Twitter!

Like this author's thread?

Get emails when @mame82 has new unrolls!

Check out other threads from @mame82!

Read all threads by @mame82

:(