Manche haben Leichen im Keller - andere einen Datenabfluss.

Der Auftakt-Blogpost der Schul-App-Wochen (#BackToSchool) bei zerforschung: zerforschung.org/posts/scoolio/
scoolio hat inzwischen auch eine Pressemitteilung veröffentlicht: scoolio.de/ausbildungsmar…

Dazu ein paar Anmerkungen: 🧵
> Nach Hinweis des Hacker:innen-Kollektivs von Gorillas, Luca und CDU-App erweitert die Schüler-Community Scoolio ihre Sicherheitsfunktionen

Klarstellung: Wir gehören weder zu Gorillas, noch zu Luca und auf gar keinen Fall zur CDU.
> Nach den aufsehenerregenden Hacks der CDU-Wahlkampf-App, des Schnelllieferanten Gorillas oder der Impfnachweis-App Luca hat das IT-Security-Team “zerforschung” rund um Lilith Wittmann […]
Klarstellung:

1. Luca ist keine Impfnachweis-App
2. Wir begrüßen @LilithWittmann als Teil von zerforschung (🤝), sie ist aber nicht unsere Chefin
@LilithWittmann > „Glücklicherweise können wir nach ausführlicher Prüfung bestätigen, dass vor der Untersuchung durch Frau Wittmann keine Nutzerdaten durch Dritte abgefangen wurden und wir die gefundenen Lücken erfolgreich geschlossen haben.”
@LilithWittmann Klarstellung:
Die Daten mussten gar nicht "abgefangen" werden, da sie schon beim normalen Nutzen der App an unberechtigte Nutzer*innen übertragen wurden. Nur eben nicht angezeigt.
@LilithWittmann > Der Sicherheitsaspekt in der App, die für Schülerinnen und Schüler zur Organisation ihres Schulalltags sowie zur Berufsorientierung konzipiert wurde, ist für das gesamte Scoolio-Team von enormer Bedeutung.

Davon haben wir nichts gemerkt 🤷

• • •

Missing some Tweet in this thread? You can try to force a refresh
 

Keep Current with zerforschung

zerforschung Profile picture

Stay in touch and get notified when new unrolls are available from this author!

Read all threads

This Thread may be Removed Anytime!

PDF

Twitter may remove this content at anytime! Save it as PDF for later use!

Try unrolling a thread yourself!

how to unroll video
  1. Follow @ThreadReaderApp to mention us!

  2. From a Twitter thread mention us with a keyword "unroll"
@threadreaderapp unroll

Practice here first or read more on our help page!

More from @zerforschung

21 Oct
Aus dem Lagebericht des @BSI_Bund ergibt sich, dass wir wohl ein Drittel der CVD-Fälle beim @certbund im Berichtszeitraum zu verantworten haben 😇

Danke für die gute Zusammenarbeit 🤝 Im Berichtszeitraum hat das BSI 25 von Externen gemeldete Co
@BSI_Bund @certbund This! Viele Unternehmen haben keinen klaren Security-Kontakt auf ihrer Website. Wir empfehlen allen Unternehmen, eine security.txt (securitytxt.org) bereitzustellen 🧑‍💻📧 Nach den Erfahrungen des BSI sind bislang wenige Hersteller
PSA vom @BSI_Bund: Nicht gehackt zu werden ist auch gut für den Fortbestand deines Unternehmens 📈🤠 Cyber-Sicherheit made in Germany Cyber-Sicherheit als Wettbe
Read 7 tweets
21 May
Was viele zum Thema Kurzstrecken-Flüge nicht im Blick haben: Innerhalb Deutschlands werden über Nacht viele Briefe mit dem Flugzeug transportiert. 🧵
Wir verschicken ja manchmal Post zwischen unseren "Standorten" und haben uns jetzt mal den Spaß gemacht, den Weg eines Briefs von Ulm nach Berlin zu verfolgen – über die Nachtluftpost-Strecke STR–BER:
Wir verpacken also in Ulm sorgfältigst einen GPS-Tracker und schicken diesen per Brief nach Berlin. GPS-Tracker, Batterie-Halterung und Antenne mit abgerupftem
Read 12 tweets
9 Apr
Es begann ähnlich wie das letzte Mal (zerforschung.org/posts/medicus/): Ein zerforschungs-Angehöriger war beim Corona-Schnelltest und bekam danach eine E-Mail mit einem Link zu seinem Ergebnis. Das kam ihm irgendwie fischig 🐟 vor, also haben wir uns das mal angeschaut. Ein Thread 🧵
Es ging um ein Testzentrum der Firma Eventus Media International (EMI), die unter anderem in Leipzig, Berlin, Hamburg, Schwerte und Dortmund Testzentren unter der Marke testcenter-corona‌.de Testzentren betreibt und Software und Infrastruktur dafür als Franchise-Modell anbietet. COVID-19 Corona- Schnelltestzentrum Entdecken Sie unsere COV
Statt die eigene Website von Grund auf selbst zu entwickeln, setzt Eventus auf WordPress. Dabei haben sie erst einmal etwas richtig gemacht: Für das Abrufen der Ergebnisse werden keine aufsteigenden Nummern verwendet, sondern zufällige 10-stellige, alphanumerische Zeichenketten.
Read 16 tweets
30 Mar
#LucaApp hatte nach viel Kritik und gutem Zureden angekündigt, ihre App zu OpenSourcen. Nun tauchte das erste Repository auf – mit der schlimmsten Lizenz, die wir seit Langem gelesen haben. Nur Betrachtung, keine Veränderung, keine Mirrors, etc. 🧵
gitlab.com/lucaapp/androi…  Eingeschränkte Lizenz  zur Betrachtung des Quellcodes der
Damit kann eigentlich niemand einen Audit machen, der eine Spendenseite hat, denn das könnten kommerzielle Zwecke sein. Da die nicht-private Nutzung ausgeschlosen ist, ist auch unklar, ob unabhängige Organisationen so etwas machen können.
Wenn jemand einen Audit macht und etwas findet, dürfte man keine Code-Schnipsel zeigen. Der Betrachter darf insbesondere nicht (und darf nicht gesta
Read 13 tweets
18 Mar
Gleich am 8.3. waren Menschen vom Berliner Zerforschungsteam beim neuen kostenlosen Schnelltest vom Senat. Dafür muss man sich in einer WebApp mit Namen, Adresse, Telefonnummer und E-Mail-Adresse registrieren. Dann eskalierte alles - ein Thread 🧵
Die Seite kam uns schon bei der Registrierung komisch vor, aber das Testergebnis war pünktlich 15 Minuten nach dem Test da. Es lässt sich sogar ein hübsches PDF mit Testergebnis & persönlichen Daten runterladen. Doch kaum zuhause siegte die Neugier: Wir schauen etwas genauer rein
Interessiert wie immer schauen wir natürlich zuerst in den Datenverkehr. Abgerufen wird das PDF über eine API, die mit der Test-ID aufgerufen wird. Als Ergebnis erhalten wir ein JSON, welches eine Data-URI mit dem PDF enthält 🧐 Screenshot der Browser-Devtools mit Datenverkehr beim Aufruf
Read 12 tweets
6 Mar
Uns haben in letzter Zeit einige Anfragen zur Sicherheit der Luca App erreicht. Hier ein paar Punkte, warum wir uns die App nicht genauer anschauen (können und wollen) 🧵
Solange eine App nicht Open Source ist, können wir immer nur einen groben Blick darauf werfen. 🧑‍💻 Manchmal fallen bei solch einem groben Blick schon Dinge auseinander.
Wir könnten in solch einem Fall sagen, dass es ein Problem gibt. Umgekehrt heißt es aber nicht, dass das System sicher ist, wenn wir nichts finden.
Read 12 tweets

Did Thread Reader help you today?

Support us! We are indie developers!


This site is made by just two indie developers on a laptop doing marketing, support and development! Read more about the story.

Become a Premium Member ($3/month or $30/year) and get exclusive features!

Become Premium

Too expensive? Make a small donation by buying us coffee ($5) or help with server cost ($10)

Donate via Paypal Become our Patreon

Thank you for your support!

Follow Us on Twitter!

:(