Kommen wir nun zum Sport: Die ganze Welt spricht gerade über die Testzertifikate eines Tennisspielers. #Djokovic
🧵 Thread 🧵
Es geht um Novak Đoković. Der ist kürzlich nach Australien eingereist. Ohne Impfung, dafür mit zwei PCR-Testzertifikaten.
Einem positiven Testergebnis vom 16. Dezember und einem negativen Testergebnis vom 22. Dezember. Er gilt demnach als Genesen.
Damit hat er eine Sondergenehmigung bekommen, um auch ungeimpft einreisen zu dürfen – die dann bei der Einreise aber als nicht ausreichend angesehen wurde.
Mittlerweile hat ein Gericht jedoch entschieden, dass er erstmal einreisen darf.
In Zusammenarbeit mit @DerSpiegel haben wir uns die Gerichtsdokumente auch einmal angeschaut und versucht, die technischen Zusammenhänge nachzuvollziehen. 🕵️
PCR-Testergebnisse werden in Serbien über ein staatliches Testergebnis-Register verwaltet. Nach dem Test bekommt man ein Testzertifikat mit einem QR-Code. Wenn man diesen scannt, kommt man zur Website des Testregisters und kann den Test validieren.
Die Website selbst beinhaltet allerdings nur einen Teil der Informationen des Papierzertifikates: Den Namen des Getesteten, das Testergebnis und eine Prüfnummer.
Es lässt sich mithilfe der Testergebnis-Seite also nicht überprüfen, wann jemand getestet wurde.
Weil wir uns bei zerforschung gerne URLs ansehen, haben wir das auch in diesem Fall gemacht. 🔎
Es fällt direkt ein spannendes Detail auf: In der URL steht ein Code, der mit einem Unix-Timestamp beginnt.
Unix-Timestamps sind ein Standard, um Zeitpunkte zu repräsentieren. Dabei werden die Sekunden seit dem 1.1.1970 um Mitternacht hochgezählt. Der aktuelle Zeitpunkt ist damit: 1641903476, also etwa 1,6 Milliarden Sekunden seit Beginn der "Unix-Zeitrechnung".
Und dieser Timestamp aus dem Zertifikat (1640187792) lässt sich auch zu einem Menschen-lesbaren Zeitpunkt umrechnen; beim negativen Test vom 22. Dezember stimmen Timestamp und Datum im Testzertifikat überein.
Bei #Djokovivs positivem PCR-Test, der laut Gerichtsdokument am 16. Dezember ausgewertet wurde, ist der Timestamp (1640524880) vom … 🥁 … 26. Dezember. Moment, da stimmt doch was nicht 🤔
Auf der Testergebnis-Seite findet sich auch ein "confirmation code". Wir konnten noch weitere Tests finden und feststellen, dass der erste Teil dieses Codes eine aufsteigende Test-ID ist und ungefähr der Anzahl der zu diesem Zeitpunkt für Serbien gemeldeten PCR-Tests entspricht.
Doch bei #Djokovics positivem PCR-Testergebnis ist noch etwas komisch: Die Test-ID des positiven Tests (7371999) vom 16.12. ist größer als die des negativen Tests vom 22. Dezember (7320919). Der angeblich früher durchgeführte Test wurde also später ins System eingetragen. 🤔
Und auch wenn wir uns die von Serbien gemeldeten Test-Zahlen auf ourworldindata.org/explorers/coro… anschauen, so wurden in Zeitraum vom 16.12. bis 22.12. etwa 75.000 Tests durchgeführt – doch die Test-IDs von #Djokovic unterscheiden sich nur um 50.000.
Viel besser passt diese Zahl, wenn wir dem Timestamp glauben und den 26.12. als Datum des positiven Tests annehmen: Denn zwischen dem 22.12. und dem 26.12. wurden ungefähr 50.000 Tests gemeldet (ourworldindata.org/explorers/coro…) – also passend viele zu den vorliegenden Dokumenten.
Aber auch sonst scheint mit diesen Testergebnissen irgendwas nicht zu stimmen
Und auch in diesen gibt es Ungereimtheiten. Die Test-IDs sind aufsteigend, somit sollte das Ergebnis vom 16.12. eine niedrigere Nummer haben als das vom 22.12. Allerdings ist es genau umgekehrt.
Now let's move on to sports: the whole world is talking about the test certificates of a tennis player right now. #Djokovic
🧵 Thread 🧵
Novak Đoković is a serbian tennis player who recently entered Australia – without vaccination, but with two PCR test certificates.
A positive test result from December 16th and a negative test result from December 22nd. He is therefore considered to be recovered.
With this he got a special permit to enter the country unvaccinated – but this permit was then considered insufficient when he entered the country. In the meantime, however, a court has allowed him to enter australia.
Aus dem Lagebericht des @BSI_Bund ergibt sich, dass wir wohl ein Drittel der CVD-Fälle beim @certbund im Berichtszeitraum zu verantworten haben 😇
Danke für die gute Zusammenarbeit 🤝
@BSI_Bund@certbund This! Viele Unternehmen haben keinen klaren Security-Kontakt auf ihrer Website. Wir empfehlen allen Unternehmen, eine security.txt (securitytxt.org) bereitzustellen 🧑💻📧
PSA vom @BSI_Bund: Nicht gehackt zu werden ist auch gut für den Fortbestand deines Unternehmens 📈🤠
Was viele zum Thema Kurzstrecken-Flüge nicht im Blick haben: Innerhalb Deutschlands werden über Nacht viele Briefe mit dem Flugzeug transportiert. 🧵
Wir verschicken ja manchmal Post zwischen unseren "Standorten" und haben uns jetzt mal den Spaß gemacht, den Weg eines Briefs von Ulm nach Berlin zu verfolgen – über die Nachtluftpost-Strecke STR–BER:
Wir verpacken also in Ulm sorgfältigst einen GPS-Tracker und schicken diesen per Brief nach Berlin.
Es begann ähnlich wie das letzte Mal (zerforschung.org/posts/medicus/): Ein zerforschungs-Angehöriger war beim Corona-Schnelltest und bekam danach eine E-Mail mit einem Link zu seinem Ergebnis. Das kam ihm irgendwie fischig 🐟 vor, also haben wir uns das mal angeschaut. Ein Thread 🧵
Es ging um ein Testzentrum der Firma Eventus Media International (EMI), die unter anderem in Leipzig, Berlin, Hamburg, Schwerte und Dortmund Testzentren unter der Marke testcenter-corona.de Testzentren betreibt und Software und Infrastruktur dafür als Franchise-Modell anbietet.
Statt die eigene Website von Grund auf selbst zu entwickeln, setzt Eventus auf WordPress. Dabei haben sie erst einmal etwas richtig gemacht: Für das Abrufen der Ergebnisse werden keine aufsteigenden Nummern verwendet, sondern zufällige 10-stellige, alphanumerische Zeichenketten.
#LucaApp hatte nach viel Kritik und gutem Zureden angekündigt, ihre App zu OpenSourcen. Nun tauchte das erste Repository auf – mit der schlimmsten Lizenz, die wir seit Langem gelesen haben. Nur Betrachtung, keine Veränderung, keine Mirrors, etc. 🧵 gitlab.com/lucaapp/androi…
Damit kann eigentlich niemand einen Audit machen, der eine Spendenseite hat, denn das könnten kommerzielle Zwecke sein. Da die nicht-private Nutzung ausgeschlosen ist, ist auch unklar, ob unabhängige Organisationen so etwas machen können.
Wenn jemand einen Audit macht und etwas findet, dürfte man keine Code-Schnipsel zeigen.