Kommen wir nun zum Sport: Die ganze Welt spricht gerade über die Testzertifikate eines Tennisspielers. #Djokovic

🧵 Thread 🧵
Es geht um Novak Đoković. Der ist kürzlich nach Australien eingereist. Ohne Impfung, dafür mit zwei PCR-Testzertifikaten.
Einem positiven Testergebnis vom 16. Dezember und einem negativen Testergebnis vom 22. Dezember. Er gilt demnach als Genesen.
Damit hat er eine Sondergenehmigung bekommen, um auch ungeimpft einreisen zu dürfen – die dann bei der Einreise aber als nicht ausreichend angesehen wurde.
Mittlerweile hat ein Gericht jedoch entschieden, dass er erstmal einreisen darf.
In Zusammenarbeit mit @DerSpiegel haben wir uns die Gerichtsdokumente auch einmal angeschaut und versucht, die technischen Zusammenhänge nachzuvollziehen. 🕵️
PCR-Testergebnisse werden in Serbien über ein staatliches Testergebnis-Register verwaltet. Nach dem Test bekommt man ein Testzertifikat mit einem QR-Code. Wenn man diesen scannt, kommt man zur Website des Testregisters und kann den Test validieren. Screenshot eines Testzertifikats
Die Website selbst beinhaltet allerdings nur einen Teil der Informationen des Papierzertifikates: Den Namen des Getesteten, das Testergebnis und eine Prüfnummer.

Es lässt sich mithilfe der Testergebnis-Seite also nicht überprüfen, wann jemand getestet wurde. Screenshot der Testergebnis-Website
Weil wir uns bei zerforschung gerne URLs ansehen, haben wir das auch in diesem Fall gemacht. 🔎

Es fällt direkt ein spannendes Detail auf: In der URL steht ein Code, der mit einem Unix-Timestamp beginnt. URL zur Verifikations-Website des Tests vom 22. Dezember, mi
Unix-Timestamps sind ein Standard, um Zeitpunkte zu repräsentieren. Dabei werden die Sekunden seit dem 1.1.1970 um Mitternacht hochgezählt. Der aktuelle Zeitpunkt ist damit: 1641903476, also etwa 1,6 Milliarden Sekunden seit Beginn der "Unix-Zeitrechnung".
Und dieser Timestamp aus dem Zertifikat (1640187792) lässt sich auch zu einem Menschen-lesbaren Zeitpunkt umrechnen; beim negativen Test vom 22. Dezember stimmen Timestamp und Datum im Testzertifikat überein. URL zur Verifikations-Website des Tests vom 22. Dezember, mi
Bei #Djokoviv​s positivem PCR-Test, der laut Gerichtsdokument am 16. Dezember ausgewertet wurde, ist der Timestamp (1640524880) vom … 🥁 … 26. Dezember. Moment, da stimmt doch was nicht 🤔 URL zur Verifikations-Website des Tests vom 16. Dezember, mi
Auf der Testergebnis-Seite findet sich auch ein "confirmation code". Wir konnten noch weitere Tests finden und feststellen, dass der erste Teil dieses Codes eine aufsteigende Test-ID ist und ungefähr der Anzahl der zu diesem Zeitpunkt für Serbien gemeldeten PCR-Tests entspricht.
Doch bei #Djokovic​s positivem PCR-Testergebnis ist noch etwas komisch: Die Test-ID des positiven Tests (7371999) vom 16.12. ist größer als die des negativen Tests vom 22. Dezember (7320919). Der angeblich früher durchgeführte Test wurde also später ins System eingetragen. 🤔
Und auch wenn wir uns die von Serbien gemeldeten Test-Zahlen auf ourworldindata.org/explorers/coro… anschauen, so wurden in Zeitraum vom 16.12. bis 22.12. etwa 75.000 Tests durchgeführt – doch die Test-IDs von #Djokovic unterscheiden sich nur um 50.000. Tabelle der durchgeführten Tests in Serbien: Vom 16.12.2021
Viel besser passt diese Zahl, wenn wir dem Timestamp glauben und den 26.12. als Datum des positiven Tests annehmen: Denn zwischen dem 22.12. und dem 26.12. wurden ungefähr 50.000 Tests gemeldet (ourworldindata.org/explorers/coro…) – also passend viele zu den vorliegenden Dokumenten. Tabelle der durchgeführten Tests in Serbien. Vom 22.12.2021
Aber auch sonst scheint mit diesen Testergebnissen irgendwas nicht zu stimmen
Und damit geben wir ab ans Wetter. 🌤️
This thread is also available in english:
Wir haben diesen Thread nochmal als Blogpost zusammengefasst: zerforschung.org/posts/djokovic…
Auf HackerNews wurden die Timestamps erklärt:
Diese werden neu generiert, wenn man das PDF mit dem Ergebnis herunterlädt.

Das erklärt die Ungereimtheiten bei den Timestamps – allerdings nicht die bei den Test-IDs – denn diese bleiben gleich.

news.ycombinator.com/item?id=298948…
Und auch in diesen gibt es Ungereimtheiten. Die Test-IDs sind aufsteigend, somit sollte das Ergebnis vom 16.12. eine niedrigere Nummer haben als das vom 22.12. Allerdings ist es genau umgekehrt.

• • •

Missing some Tweet in this thread? You can try to force a refresh
 

Keep Current with zerforschung

zerforschung Profile picture

Stay in touch and get notified when new unrolls are available from this author!

Read all threads

This Thread may be Removed Anytime!

PDF

Twitter may remove this content at anytime! Save it as PDF for later use!

Try unrolling a thread yourself!

how to unroll video
  1. Follow @ThreadReaderApp to mention us!

  2. From a Twitter thread mention us with a keyword "unroll"
@threadreaderapp unroll

Practice here first or read more on our help page!

More from @zerforschung

11 Jan
Now let's move on to sports: the whole world is talking about the test certificates of a tennis player right now. #Djokovic

🧵 Thread 🧵
Novak Đoković is a serbian tennis player who recently entered Australia – without vaccination, but with two PCR test certificates.
A positive test result from December 16th and a negative test result from December 22nd. He is therefore considered to be recovered.
With this he got a special permit to enter the country unvaccinated – but this permit was then considered insufficient when he entered the country. In the meantime, however, a court has allowed him to enter australia.
Read 20 tweets
26 Oct 21
Manche haben Leichen im Keller - andere einen Datenabfluss.

Der Auftakt-Blogpost der Schul-App-Wochen (#BackToSchool) bei zerforschung: zerforschung.org/posts/scoolio/
scoolio hat inzwischen auch eine Pressemitteilung veröffentlicht: scoolio.de/ausbildungsmar…

Dazu ein paar Anmerkungen: 🧵
> Nach Hinweis des Hacker:innen-Kollektivs von Gorillas, Luca und CDU-App erweitert die Schüler-Community Scoolio ihre Sicherheitsfunktionen

Klarstellung: Wir gehören weder zu Gorillas, noch zu Luca und auf gar keinen Fall zur CDU.
Read 8 tweets
21 Oct 21
Aus dem Lagebericht des @BSI_Bund ergibt sich, dass wir wohl ein Drittel der CVD-Fälle beim @certbund im Berichtszeitraum zu verantworten haben 😇

Danke für die gute Zusammenarbeit 🤝 Im Berichtszeitraum hat das BSI 25 von Externen gemeldete Co
@BSI_Bund @certbund This! Viele Unternehmen haben keinen klaren Security-Kontakt auf ihrer Website. Wir empfehlen allen Unternehmen, eine security.txt (securitytxt.org) bereitzustellen 🧑‍💻📧 Nach den Erfahrungen des BSI sind bislang wenige Hersteller
PSA vom @BSI_Bund: Nicht gehackt zu werden ist auch gut für den Fortbestand deines Unternehmens 📈🤠 Cyber-Sicherheit made in Germany Cyber-Sicherheit als Wettbe
Read 7 tweets
21 May 21
Was viele zum Thema Kurzstrecken-Flüge nicht im Blick haben: Innerhalb Deutschlands werden über Nacht viele Briefe mit dem Flugzeug transportiert. 🧵
Wir verschicken ja manchmal Post zwischen unseren "Standorten" und haben uns jetzt mal den Spaß gemacht, den Weg eines Briefs von Ulm nach Berlin zu verfolgen – über die Nachtluftpost-Strecke STR–BER:
Wir verpacken also in Ulm sorgfältigst einen GPS-Tracker und schicken diesen per Brief nach Berlin. GPS-Tracker, Batterie-Halterung und Antenne mit abgerupftem
Read 12 tweets
9 Apr 21
Es begann ähnlich wie das letzte Mal (zerforschung.org/posts/medicus/): Ein zerforschungs-Angehöriger war beim Corona-Schnelltest und bekam danach eine E-Mail mit einem Link zu seinem Ergebnis. Das kam ihm irgendwie fischig 🐟 vor, also haben wir uns das mal angeschaut. Ein Thread 🧵
Es ging um ein Testzentrum der Firma Eventus Media International (EMI), die unter anderem in Leipzig, Berlin, Hamburg, Schwerte und Dortmund Testzentren unter der Marke testcenter-corona‌.de Testzentren betreibt und Software und Infrastruktur dafür als Franchise-Modell anbietet. COVID-19 Corona- Schnelltestzentrum Entdecken Sie unsere COV
Statt die eigene Website von Grund auf selbst zu entwickeln, setzt Eventus auf WordPress. Dabei haben sie erst einmal etwas richtig gemacht: Für das Abrufen der Ergebnisse werden keine aufsteigenden Nummern verwendet, sondern zufällige 10-stellige, alphanumerische Zeichenketten.
Read 16 tweets
30 Mar 21
#LucaApp hatte nach viel Kritik und gutem Zureden angekündigt, ihre App zu OpenSourcen. Nun tauchte das erste Repository auf – mit der schlimmsten Lizenz, die wir seit Langem gelesen haben. Nur Betrachtung, keine Veränderung, keine Mirrors, etc. 🧵
gitlab.com/lucaapp/androi…  Eingeschränkte Lizenz  zur Betrachtung des Quellcodes der
Damit kann eigentlich niemand einen Audit machen, der eine Spendenseite hat, denn das könnten kommerzielle Zwecke sein. Da die nicht-private Nutzung ausgeschlosen ist, ist auch unklar, ob unabhängige Organisationen so etwas machen können.
Wenn jemand einen Audit macht und etwas findet, dürfte man keine Code-Schnipsel zeigen. Der Betrachter darf insbesondere nicht (und darf nicht gesta
Read 13 tweets

Did Thread Reader help you today?

Support us! We are indie developers!


This site is made by just two indie developers on a laptop doing marketing, support and development! Read more about the story.

Become a Premium Member ($3/month or $30/year) and get exclusive features!

Become Premium

Too expensive? Make a small donation by buying us coffee ($5) or help with server cost ($10)

Donate via Paypal

Or Donate anonymously using crypto!

Ethereum

0xfe58350B80634f60Fa6Dc149a72b4DFbc17D341E copy

Bitcoin

3ATGMxNzCUFzxpMCHL5sWSt4DVtS8UqXpi copy

Thank you for your support!

Follow Us on Twitter!

:(