Oh schaut mal, das #BMI bietet euch beim #NutzerkontoBund einen tollen API-Endpunkt an, um zu überprüfen, ob eure Passwörter SICHER sind. 🤓
Achso und wenn euer Browser automatisch ein Passwort einfügt (ohne Interaktion mit dem Feld), dann wird das auch automatisch ans BMI zur *öhm* Überprüfung der Passwortrichtlinien geschickt.
Da willst Du nur mal eben zum Feierabend die API des #NutzerkontoBund dokumentieren und dann ist schon wieder alles scheiße. 😔
Bonus: Wird ein zu schwaches Passwort zur Registrierung selbst verwendet, ist dieses Teil der ausführlichen Spring-Fehlermeldung und landet garantiert im Server-Log.
• • •
Missing some Tweet in this thread? You can try to
force a refresh
Das Schufa/Bonify-Drama geht übrigens weiter.
Die Schufa versucht nun gegen einzelnen Medien und Menschen vorzugehen, die über die Sicherheitsprobleme bei #bonify berichtet haben.
Sie versuchen jetzt damit durchzukommen, dass der Boniversum Score kein personenbezogenes Datum ist.
Probieren also meine Argumentation, dass Boniversum eine nutzlose Wirtschaftsauskunftei ist und der Score nix aussagt vor Gericht.
Ansonsten geht es darum, was denn nun ein Datenleck ist und was nicht.
Aber ich freue mich, dass mal jemand vor Gericht das ausdiskutiert, was Datenleck bedeutet und wie relevant Kreditscores tatsächlich sind.
Ihr habt vielleicht von #bonify gehört. Eine Tochterfirma der Schufa, die euch eure Kreditwürdigkeit anzeigt und auch Mieterauskünfte ausstellt.
Das macht sie aber nicht nur für euch persönlich, sondern für jeden, für den ihr mal eine Kreditauskunft haben wollt.
Denn nachdem ihr eure Daten über das Bankident verfahren verifiziert habt, könnt ihr diese für etwa eine Sekunde über eine Programmierschnittstelle aktualisieren.
So kam ich im zum Beispiel an Jens Spahns Boniversum-Score. Und konnte mir auch eine Mieterauskunft erstellen lassen.
Die Mieterauskunft kann man natürlich auch bei bonify verifizieren. Wenn ihr also mal dringend eine garantiert echte Mieterauskunft von einer #Schufa-Tochterfirma braucht… für 19,99 schreiben die euch da jeden Namen drauf.
Das waren mehr als 500 - nämlich euer ganzes Active Directory - >16000 User mit Namen, E-Mails und Jobs - und das hat einige andere interessante Sicherheitslücken eröffnet.
zB Account-Takeovers von E-Mail-Adressen, bei denen Domains nicht mehr existierten.
Erfolg der #BundID im Kontext der #Einmalzahlung200:
Seit heute ist die Einmalzahlung 2,27 Millionen mal ausbezahlt worden und es gibt laut OZG Dashboard über 2.3 Millionen BundID Accounts.
Voller Erfolg für die #BundID, würdet ihr jetzt sagen?
Naja, ich glaube nicht.
Schauen wir uns mal einen Datensnapshot vom 4. April an.
An dem Tag war die Einmalzahlung knapp 2 Mio mal ausbezahlt worden.
Es gab aber weniger als 1 Mio verifizierte BundID Accounts.
Bedeutet: Weniger als die Hälfte der Menschen haben sich überhaupt mit BundID angemeldet.
Jetzt gibt es die BundID aber schon länger.
Und vor der Ankündigung, dass sie die Zugangsmethode für die Einmalzahlung sein wird, hatte sie auch schon 100.000 verifizierte User.
Also haben vermutlich weniger als 900.000 Menschen bzw. 45% die #BundID zur Verifizierung genutzt.
Lerne gerade: Für Leute die keinen Namen nach 🥔-Schema haben (also keinen Vornamen, komplexere Nachnamen, …) funktioniert die #BundID einfach nicht.
So diskriminiert ihr mit eurer Technik direkt mal einen ganzen Haufen Leute.
Also das liegt natürlich daran, dass das Prinzip, das wir alle einen Vor- und Nachnamen haben müssen, shitty ist.
Wenn Du aber Deine Software auf diese Prinzipien aufbaust, dann bedeutet das halt, dass eine Menge Leute keinen Zugang zu dieser haben.
Das ist ein soo bekanntes Problem, das ich von einem staatlichen Tool erwartet hätte, dass es zumindest das hinbekommt.