@markus_bublitz@coronawarnapp Eine Gegendarstellung zu den Aussagen vom "Galaxy Georgsheil" vom Gesundheitsamt Aurich wäre hier profunder.
Vielleicht wird zu gegebener Zeit existieren eine veröffentlicht, jetzt hat man dort sicher besseres zu tun.
@markus_bublitz@coronawarnapp Verantwortlich für die Bereitstellung korrekter und vollständiger Kontaktdaten ist ja sicher nicht das Luca-Fachsystem, sondern der Veranstalter ... oder irre ich da?
Wenn auch ein Gesundheitsamt nur 1000 der (zentral gespeicherten) verschlüsselten Kontaktdatensätze pro Stunde abrufen darf, wird es nicht leichter mit einer Gästeliste >1000 gitlab.com/lucaapp/web/-/…
Me: #LucaApp Kontaktdaten und Checkins können eindeutig zu Smartphones zugeordnet werden.
Hersteller: Nö, höchstens unter "Laborbedingungen".
Me: No, wurde an Production System belegt.
Hersteller: Wenn du die App Nutzung einstellst, löschen wir zugeordnete Kontaktdaten
🤪🤯
Ernsthaft: Unzählige Nutzer haben die App (wegen Fehlern) mehrfach neuinstalliert und dabei jedes Mal einen neuen Account angelegt.
Wie wurden die verschlüsselten Kontaktdaten denn zugeordnet, um sie zu löschen?
Immerhin gibt es ja jetzt einen "löschen" Button in der App
Hinweis:
Wer seine Daten mit einem Schlüsselanhänger registriert hat, hat übrigens keinen "löschen" Button.
Man könnte zwar den Betreiber - unter Angabe der Seriennummer- bitten zu löschen, dabei teilt man aber das Kennwort zu den verschlüsselten Kontaktdaten mit.
Möchtest du solche Risiken bewerten, betrachtest du zunächst mal die Eintrittswahrscheinlichkeit. Die dürfte im Falle "luca" für erfolgreiche Angriffe ...
@alvar_f@HonkHase@LoeweHeinz@gnirbel@AllenRe97883617@BergerPhilipp@patrick_hennig@_lucaApp vergleichsweise hoch sein, denn das System ist bisher permanent und kontinuierlich durch technische Mängel aufgefallen.
Gleichzeitig bietet es ein "high value target" für Angreifer und es darf angenommen werden, das Informationsgewinnung/Beschaffung eher das Ziel sind als ...
Klappt bestimmt vielleicht bevor das erste Lizensierungsjahr endet. Solange kannst du weiter versuchen technische Faktenlage in "Fundamentalkritik" umzudeklarieren.
Die einzigen Informationen die das Backend nicht ohne weiteres lernen kann, sind die nicht anderweitig bekanntgewordenen Kontaktdatenanteile (Name, Adresse).