Unabhängig von der etwas simplizifierten Rechnung Kosten durch Fälle gibt es bei #LucaApp noch eine ganze Menge Hidden Costs.
Weil Luca als immer noch instabiles und unreifes Produkt andere Beteiligte bindet, ich erkläre das mal… #LucaApp
Weil Luca als immer noch instabiles und unreifes Produkt andere Beteiligte bindet, ich erkläre das mal… #LucaApp
https://twitter.com/JuliusBetschka/status/1426531655817338883
… da hätten wir zum einen die Tatsache, dass das Produkt unfreiwillig mit Gesundheitsämtern zu einer einigermaßen sinnigen Anwendung entwickelt werden muss.
Als wir im Gesundheitsamt Luca im März vor uns hatten, war das Produkt fast schon verkauft, aber funktional unfertig.
Als wir im Gesundheitsamt Luca im März vor uns hatten, war das Produkt fast schon verkauft, aber funktional unfertig.
Was erzeugt das für Kosten: Gesundheitsamt muss sich in einer Pandemie am Wochenende als Team hinsetzen und $produkt prüfen
vgl. zeit.de/digital/datens…
Kosten: x-tausend Euro und Zeit in diversen Gesundheitsämtern
vgl. zeit.de/digital/datens…
Kosten: x-tausend Euro und Zeit in diversen Gesundheitsämtern
Am Ende kommt ne Featurewunschliste, damit man als Amt mal etwas mit so nem Tool anfangen kann.
Abarbeitungsstatus: immer unklar, Versionierung etc. auch.
Aber hey: Dafür zahlen wir ja.
Abarbeitungsstatus: immer unklar, Versionierung etc. auch.
Aber hey: Dafür zahlen wir ja.
Features, die damals auf unserer Liste waren:
- Logout für non Apps - gibt es immer noch nicht so richtig vollständig
- API-Anbindung - nope
Darüber hinaus bestimmt viele Features anderer Ämter.
- Logout für non Apps - gibt es immer noch nicht so richtig vollständig
- API-Anbindung - nope
Darüber hinaus bestimmt viele Features anderer Ämter.
Kommen wir dann nach der funktionalen Umsetzung zu sicherheitstechnischen Parametern.
Beziehungsweise vorab sollte gesagt werden, dass Luca ja auch konzeptionelle Beratung von gewissen Datenschutzbehörden bekommen hat. Bezüglich Konzept Verschlüsselung.
Beziehungsweise vorab sollte gesagt werden, dass Luca ja auch konzeptionelle Beratung von gewissen Datenschutzbehörden bekommen hat. Bezüglich Konzept Verschlüsselung.
Gehen wir in die Umsetzung:
Bereits bei erster Code-Offenlegung gab es durchaus immer wieder Hinweise zu Issues im Luca System (offene Scanner-URLs), da darauf nicht so wirklich sinnig reagiert wurde, gab es dann immer deutlichere Hinweise, dass an dem Produkt etwas kaputt ist…
Bereits bei erster Code-Offenlegung gab es durchaus immer wieder Hinweise zu Issues im Luca System (offene Scanner-URLs), da darauf nicht so wirklich sinnig reagiert wurde, gab es dann immer deutlichere Hinweise, dass an dem Produkt etwas kaputt ist…
Eine Auswahl:
CSV Injections: vimeo.com/558459255
Badge Overwrite: gitlab.com/lucaapp/web/-/…
Badge decrypt:
gitlab.com/lucaapp/web/-/…
Das war jetzt mal nur ne Auswahl an @mame82 Stuff.
Der inzwischen verständlicherweise keinen Nerv mehr hat.
CSV Injections: vimeo.com/558459255
Badge Overwrite: gitlab.com/lucaapp/web/-/…
Badge decrypt:
gitlab.com/lucaapp/web/-/…
Das war jetzt mal nur ne Auswahl an @mame82 Stuff.
Der inzwischen verständlicherweise keinen Nerv mehr hat.
Hätten wir mal noch so ein paar Dinge, die auf die Kappe von @rvnstn und co gehen:
lucatrack.de Bewegungsprofile Schlüsselanhänger
github.com/lucaapp/securi… Scanner Public
lucatrack.de Bewegungsprofile Schlüsselanhänger
github.com/lucaapp/securi… Scanner Public
Aus der Erfahrung mit #LucaTrack und so kann ich auch berichten, dass die Würdigung von Hinweisen zu Sicherheitslücken eher sagen wir mal – ganz vorsichtig – verbesserungswürdig ist:
Responsible Disclosure mit seltsamen Bedingungen ist eines, keine Attribution geht nicht imho
Responsible Disclosure mit seltsamen Bedingungen ist eines, keine Attribution geht nicht imho
Wenn Dinge denn nicht komplett abgestritten werden oder die Schuld wahlweise auf Locations oder die Gesundheitsämter abgewälzt wird.
Locations wünschen sich bestimmt auch total viele Features und sind immer wieder Beta-Tester:innen für ein immer noch gescheitertes UX-Konzept (Schlüssel verloren, keine schnellen Hinweise bei Datenanfrage) etc,
Was es – meines Wissens nach – immer noch nicht gibt oder womit man nicht wirbt, ist ein dahinterliegendes epidemiologisches Konzept. Aber gut, Papierliste in Digital muss ja reichen.
Die Praxis von Massenveranstaltungen mit Luca zeigt dann halt, dass das Konzept scheitert.
Die Praxis von Massenveranstaltungen mit Luca zeigt dann halt, dass das Konzept scheitert.
Aber hey: auf der anderen Seite werden ja immer wieder noch andere öffentliche Stellen wie bestimmte Ministerien oder Kommunen eingespannt, um aktiv für Luca zu werben.
(Ist auch Teil von Verträgen teilweise)
(Ist auch Teil von Verträgen teilweise)
Wir stellen also fest: hinter #LucaApp stecken noch viel mehr Aufwände als die 20+ Millionen, die immer herumschwirren in der Presse.
Luca bekommt und hat in den letzten Monaten aktiv viel Support bekommen - von vielen Stellen.
Genutzt haben sie in aber nie, um zu liefern.
Luca bekommt und hat in den letzten Monaten aktiv viel Support bekommen - von vielen Stellen.
Genutzt haben sie in aber nie, um zu liefern.
Das Produkt ist nach wie vor eine Baustelle. Trotz des zahlreichen Supports.
Dass dieser gute Wille irgendwann endet, sollte auch klar sein.
Und die Opferrolle "Alle ganz fies gegen Luca" zählt schon längst nicht mehr.
Dass dieser gute Wille irgendwann endet, sollte auch klar sein.
Und die Opferrolle "Alle ganz fies gegen Luca" zählt schon längst nicht mehr.
(Disclaimer: meinen ersten Kontakt hatte ich mit Luca App Ende Februar, ich kenne das Produkt aus Pilotierung in einem Gesundheitsamt in der praktischen Anwendung, war an mehreren Security Incidents wie LucaTrack beteiligt und kenne im Rahmen von IRIS connect Apps dieser Art gut)
Lesen sie für einen tiefergehenden Einblick in die Thematik auch die folgenden Artikel, bei denen das Konzept Luca auch nicht so ganz gut weg kommt:
bkastl.de/notes/contact-…
bkastl.de/notes/eine-kle…
bkastl.de/notes/contact-…
bkastl.de/notes/eine-kle…
• • •
Missing some Tweet in this thread? You can try to
force a refresh
