zerforschung Profile picture
reverse engineering in progress. contact us via twitter dm or eMail: hallo@zerforschung.org find us on 🦣: @zerforschung@chaos.social
Jun 19, 2023 7 tweets 3 min read
The "Passe France Allemagne", free train tickets for young people from germany and france, were immediately sold out last week. But with a few tricks, you could still get one afterwards. How this was possible, and how we also found a databreach with 245,000 records… 🧵 Screenshot of the dashboard... To celebrate the Franco-German Friendship, the german minister of transportation @Wissing and his french colleague @CBeaune came up with something special: 30,000 free Interrail tickets per country for travel in 🇩🇪 and 🇫🇷 for young adults between 18 and 27.
Jun 19, 2023 7 tweets 3 min read
Die deutsch-französischen Freundschaftspässe, kostenlose Zugtickets für junge Menschen, waren letzte Woche sofort vergriffen. Mit technischen Tricks konnte man sich aber weiter registrieren. Wie genau, und wie wir außerdem ein Datenleck mit 245.000 Datensätzen gefunden haben… 🧵 Screenshot der eigentlich i... Um die deutsch-französische Freundschaft zu feiern, haben sich Bundesverkehrsminister @Wissing und sein französischer Kollege @CBeaune etwas Besonderes ausgedacht:
Je Land 30.000 kostenlose Interrail-Tickets für Reisen in 🇩🇪 und 🇫🇷 für junge Erwachsene zwischen 18 und 27.
Jul 18, 2022 22 tweets 7 min read
Wir haben uns den Report zu TikTok genau durchgelesen: Das ist größtenteils Quatsch. Schauen wir uns die Behauptungen nacheinander an 🧵

0. Um den Report zu bewerben, sagt das Analyse-Unternehmen unter anderem: "TIKTOK IS NOT COMPATIBLE WITH OUR APPROACH TO PRIVACY". Ach tatsächlich? Um den Report zu bekommen, muss man Name, Telefonnummer und E-Mail-Adresse angeben. Spannender "approach to privacy"... 🤔 Downloadformular mit Abfrage von First Name, Email Address u
Jan 11, 2022 20 tweets 7 min read
Now let's move on to sports: the whole world is talking about the test certificates of a tennis player right now. #Djokovic

🧵 Thread 🧵 Novak Đoković is a serbian tennis player who recently entered Australia – without vaccination, but with two PCR test certificates.
A positive test result from December 16th and a negative test result from December 22nd. He is therefore considered to be recovered.
Jan 11, 2022 20 tweets 6 min read
Kommen wir nun zum Sport: Die ganze Welt spricht gerade über die Testzertifikate eines Tennisspielers. #Djokovic

🧵 Thread 🧵 Es geht um Novak Đoković. Der ist kürzlich nach Australien eingereist. Ohne Impfung, dafür mit zwei PCR-Testzertifikaten.
Einem positiven Testergebnis vom 16. Dezember und einem negativen Testergebnis vom 22. Dezember. Er gilt demnach als Genesen.
Oct 26, 2021 8 tweets 3 min read
Manche haben Leichen im Keller - andere einen Datenabfluss.

Der Auftakt-Blogpost der Schul-App-Wochen (#BackToSchool) bei zerforschung: zerforschung.org/posts/scoolio/ scoolio hat inzwischen auch eine Pressemitteilung veröffentlicht: scoolio.de/ausbildungsmar…

Dazu ein paar Anmerkungen: 🧵
Oct 21, 2021 7 tweets 5 min read
Aus dem Lagebericht des @BSI_Bund ergibt sich, dass wir wohl ein Drittel der CVD-Fälle beim @certbund im Berichtszeitraum zu verantworten haben 😇

Danke für die gute Zusammenarbeit 🤝 Im Berichtszeitraum hat das BSI 25 von Externen gemeldete Co @BSI_Bund @certbund This! Viele Unternehmen haben keinen klaren Security-Kontakt auf ihrer Website. Wir empfehlen allen Unternehmen, eine security.txt (securitytxt.org) bereitzustellen 🧑‍💻📧 Nach den Erfahrungen des BSI sind bislang wenige Hersteller
May 21, 2021 12 tweets 4 min read
Was viele zum Thema Kurzstrecken-Flüge nicht im Blick haben: Innerhalb Deutschlands werden über Nacht viele Briefe mit dem Flugzeug transportiert. 🧵 Wir verschicken ja manchmal Post zwischen unseren "Standorten" und haben uns jetzt mal den Spaß gemacht, den Weg eines Briefs von Ulm nach Berlin zu verfolgen – über die Nachtluftpost-Strecke STR–BER:
Apr 9, 2021 16 tweets 5 min read
Es begann ähnlich wie das letzte Mal (zerforschung.org/posts/medicus/): Ein zerforschungs-Angehöriger war beim Corona-Schnelltest und bekam danach eine E-Mail mit einem Link zu seinem Ergebnis. Das kam ihm irgendwie fischig 🐟 vor, also haben wir uns das mal angeschaut. Ein Thread 🧵 Es ging um ein Testzentrum der Firma Eventus Media International (EMI), die unter anderem in Leipzig, Berlin, Hamburg, Schwerte und Dortmund Testzentren unter der Marke testcenter-corona‌.de Testzentren betreibt und Software und Infrastruktur dafür als Franchise-Modell anbietet. COVID-19 Corona- Schnelltestzentrum Entdecken Sie unsere COV
Mar 30, 2021 13 tweets 5 min read
#LucaApp hatte nach viel Kritik und gutem Zureden angekündigt, ihre App zu OpenSourcen. Nun tauchte das erste Repository auf – mit der schlimmsten Lizenz, die wir seit Langem gelesen haben. Nur Betrachtung, keine Veränderung, keine Mirrors, etc. 🧵
gitlab.com/lucaapp/androi…  Eingeschränkte Lizenz  zur Betrachtung des Quellcodes der Damit kann eigentlich niemand einen Audit machen, der eine Spendenseite hat, denn das könnten kommerzielle Zwecke sein. Da die nicht-private Nutzung ausgeschlosen ist, ist auch unklar, ob unabhängige Organisationen so etwas machen können.
Mar 18, 2021 12 tweets 5 min read
Gleich am 8.3. waren Menschen vom Berliner Zerforschungsteam beim neuen kostenlosen Schnelltest vom Senat. Dafür muss man sich in einer WebApp mit Namen, Adresse, Telefonnummer und E-Mail-Adresse registrieren. Dann eskalierte alles - ein Thread 🧵 Die Seite kam uns schon bei der Registrierung komisch vor, aber das Testergebnis war pünktlich 15 Minuten nach dem Test da. Es lässt sich sogar ein hübsches PDF mit Testergebnis & persönlichen Daten runterladen. Doch kaum zuhause siegte die Neugier: Wir schauen etwas genauer rein
Mar 6, 2021 12 tweets 3 min read
Uns haben in letzter Zeit einige Anfragen zur Sicherheit der Luca App erreicht. Hier ein paar Punkte, warum wir uns die App nicht genauer anschauen (können und wollen) 🧵 Solange eine App nicht Open Source ist, können wir immer nur einen groben Blick darauf werfen. 🧑‍💻 Manchmal fallen bei solch einem groben Blick schon Dinge auseinander.
Feb 28, 2021 37 tweets 10 min read
🧵 Thread 🧵

Gestern wurde bekannt gegeben dass ab morgen Einreisenden bei der Einreise eine SMS gesendet wird um sie über die Corona-Regeln zu informieren.

Wir haben privat schon ein bisschen Witze gemacht, dass die SMS sicher nur einen Link auf eine Website enthält … Heute haben wir dann den vollständigen Text dieser SMS gefunden ( bundesgesundheitsministerium.de/presse/pressem… ) und was sollen wir sagen… Bingo! Die Bundesregierung: Willkommen/Welcome! Bitte beachten Sie
Jan 27, 2021 18 tweets 4 min read
Heute sind wir ganz am Zeitgeist und schauen uns das Sprachi-Netzwerk Clubhouse an. Es gab bereits einige Kritik am Datenschutz (tagesschau.de/wirtschaft/clu…) und Exklusivität. Der Großteil des Kontakt zum Server wird über eine REST-Api abgewickelt. Hier ist Clubhouse wiederspänstiger als viele andere Apps und implementiert Certificate Pinning. Dann holen wir mal das gejailbreakte Telefon heraus.
Oct 5, 2020 37 tweets 13 min read
„Lass mich mal eben nachgucken was für eine GPU das in diesem 50 Zoll Fernseher genau ist… Ah natürlich.“

*bindet sich Fernseher um Arm* Screenshot ARM-Website: &qu... Außerdem behauptet die Javascript Battery API auch der Akku des Fernsehers wäre im Zustand "charging"