Eva Wolfangel
@evawolfangel
Followers
9K
Following
11K
Media
1K
Statuses
12K
journalist, @KSJatMIT 19/20, speaker: https://t.co/RdQfRBkUKY, Signal: +4915151950321, Threema: 47M5V464, @[email protected]
Stuttgart/Zurich/Berlin/Online
Joined July 2011
Our research into security vulnerabilities in #Webex is now attracting international attention. Due to the vulnerability, we were able to find tens of thousands of meeting links of European governments, authorities and companies on the Internet. I could attend 1/.#cybersecurity.
1
28
65
Die Vonovia nötigt ihren Mieter:innen smarte Rauchmelder auf. Das Gerät einer in China ansässigen Firma sammelt völlig unnötige Daten. Und wer seine eigenen Daten nutzen will, muss zustimmen, sie mit der Vonovia zu teilen. Über eine US-Cloud. Klingt absurd? Fand ich auch. 🧵.
168
662
4K
Ich habe mich SCHON WIEDER in fremde #Webex-Konferenzen eingeklinkt, diesmal bei einer deutschen Behörde (dem BAMF) und einer Krankenkasse. Und wenn ihr jetzt denkt, das hier ist "Und täglich grüßt das Murmeltier" kann ich nur sagen: Es ist noch schlimmer. 1/.#cybersecurity.
39
354
2K
Das ist das größte Leak, das ich je gesehen habe. Genau genommen sind es sehr viele Leaks in einem: alle basieren auf dem gleichen Fehler. Ungeschützte Daten in der Cloud beinhalten ungefähr alles, was du dir vorstellen kannst: 🧵.#38c3.
36
368
2K
Der CCC hat eine Biometrie-Datenbank des US-Militärs ohne großen Aufwand erbeutet. Darin ua Namen, Fingerabdrücke, Iris-Scans und Fotos von 2632 Personen, GPS-Koordinaten vergangener Einsätze etc. Krass: Weder Bundeswehr noch US-Militär interessiert das 😳
18
217
1K
Das ist interessant: Die Berliner Zeitung unterstellt unabhängigen Journalist:innen wie mir ein „Interesse“ am Scheitern der #LucaApp und vergisst zu erwähnen, dass ihr Verleger Holger Friedrich mit seinem Unternehmen Core Nexenio berät und damit ein Interesse am Erfolg hat. 1/
12
280
1K
Wer es verpasst hat: Wir haben eine massive Sicherheitslücke bei Bundeswehr und Bundesregierung aufgedeckt. Die Bundeswehr hat ihren Webex-Server vom Internet genommen. Der Meetingraum von Olaf Scholz steht aber auch heute noch offen. 1/2.#Cybersecurity #bundeswehr
32
178
1K
Mehr als 10 Millionen für eine App, die unsere Probleme nicht löst, sondern womöglich auch noch Schaden anrichtet. Wir haben recherchiert, wie das passieren konnte. Marketing, Druck und zweifelhafte Vergabeverfahren stehen hinter dem Erfolg der #LucaApp.
34
418
813
Aus solchen Daten lässt sich mehr über deine Lebensgewohnheiten herausfinden, als du dir träumen lässt. Hier ein super Votrag genau zu diesen Daten:. Und hier mein aktueller Artikel:. #cybersecurity #teamDatenschutz #privacy.
15
131
895
Es ergibt überhaupt keinen Sinn, solche Daten ins Netz zu stellen. Man hat Null Komfortgewinn. Aber jede Menge neue Angriffsvektoren. Die Vonovia hat eine halbe Million Wohnungen in Deutschland. Es ist so unglaublich unseriös, den Menschen solche Geräte aufzuzwingen.
4
27
810
Das ist krass. Nicht nur weil das eine gefährliche Lücke ist, die Gesundheitsämtern #Ransomware bescheren könnte, sondern auch, weil Nexenio seit drei Wochen (!) Bescheid weiß – und sie bis heute offen ist: #LucaApp-CEO Patrick Hennig sagte mir am 3.5., diese Lücke gebe es nicht.
#LucaApp Sicherheitslücke (Video): .Luca-Nutzer greift Gesundheitsamt mittels manipulierter Kontakdaten an und stiehlt Daten weiterer Nutzer. Volles Video - einschl. Fortführung des Angriffs bis zur Infektion des Gesundheitsamtes mit Ransomware - im nächsten Tweet verlinkt
21
353
720
Was hast du davon, wenn deine App dir sagt: "Du solltest mal lüften", aber du bist gar nicht Zuhause? NICHTS. Was haben Spione und Kriminelle davon, wenn deine gehackte App ihnen sagt: "Die Bewohnerin ist im Urlaub" oder "Hat Besuch"? .Siehste selbst oder?.#cybersecurity.
9
22
772
Ich habe selten unsinnigere Smarthome-Ideen gesehen. Dabei bin ich durchaus Automatisierungsfan. Aber wer sich ein paar Gedanken macht, merkt schnell, dass man die meisten Sensordaten über das eigene Zuhause nicht im Internet haben will. Auch auch nicht braucht. #teamdatenschutz.
4
20
767
"Fehlendes Verständnis von fundamentalen Sicherheitsprinzipien": Mehr als 70 führende deutsche IT Security Forscher:innen warnen vor der #LucaApp und fordern die Politik auf, zu vernünftigen Lösungen zurück zu kehren.
19
277
680
Diesen Spion müssen die Mieter:innen selbst bezahlen. Ablehnen dürfen sie ihn nicht. Die Vonovia wirbt damit, dass der Rauchmelder auch die Raumtemperatur, Luftfeuchtigkeit und den Kohlenmonoxid-Gehalt misst. "Lüftungsempfehlung- und Raumklima-Monitoring direkt in der App!".
14
28
688
TLDR: Eine App, die Bewegungsdaten von Millionen Deutschen verarbeiten soll und die Expert:innen als unsicher einstufen, wird auf Basis zweifelhafter Marketingversprechen und guter Kontakte eines Popstars ohne öffentliche Debatte und Ausschreibung für zig Millionen gekauft. 17/17.
14
262
572
Natürlich hat die Vonovia Interesse an solchen Daten. Sie sagt, die werden nur anonym gespeichert. In einer App, in der auch der Mietvertrag etc verwaltet wird. Ich hab schon umständlichere Wege gesehen, Daten zu de-anonymisieren. Aber selbst wenn: wer alles sonst hat Interesse?.
2
18
632
@Jahmaurisa Ich sags ungern, aber ich habe zu dem Thema einen ganzen Artikel geschrieben. "Missing Details" auf Twitter zu beanstanden ist fast schon wieder süß.
2
4
632
Ich habe in meinen Recherchen schon so viele Fälle gesehen, in denen solche Daten in die Hände von Cyberkriminellen und Geheimdiensten gelangt sind. Und wer jetzt sagt: "Und was interessieren die sich für meine Luftfeuchtigkeit?", sollte sich das nochmal überlegen, denn.
3
15
623
Nach vielen Interviews mit Datenschütz:innen und Expert:innen muss ich sagen: #LucaApp ist keine Lösung. Es gibt dezentrale Alternativen! Danke @privacyDE, @LilithWittmann @cccfr @Peter_Schaar @carmelatroncoso @marcelsalathe_d Stefan Brink & Marit Hansen
25
239
542
Diesmal waren vermutlich alle Webex-Kund:innen betroffen (also nicht mehr nur OnPremise), wir haben zehntausende Meetings europäischer Behörden - von Bundeskanzleramt bis BSI - und Unternehmen offen im Netz gefunden und viele waren ohne Passwort-Schutz. 2/.
2
30
562
Nach der Bundeswehr und der SPD mit ihrer On-Premise-Lösung hat es nun die Bundesregierung, das BSI und viele andere getroffen, die Webex in der Cloud nutzen und sich in falscher Sicherheit gewogen haben. #cybersecurity #webex.
12
41
551
@kaibiermann Lediglich Schaeffler hat umgehend reagiert, nachdem wir ihnen von den 60.000 Dokumenten „zur internen Verwendung“, technischen Zeichnungen und Kalkulationen berichtet haben, die fast alle großen deutschen Automobilhersteller betrafen.
5
26
543
Als ich im Dezember in Kiew war, wurde meine Kreditkarte gesperrt. Das Sicherheitssystem der Bank dachte, ich sei gehackt worden (Ukraine=#Cybercrime!) Dabei hatte ich mit der gleichen Karte den Flug gekauft. Ist die Banken-KI so schlecht? Ich begann zu recherchieren. (Thread).
23
144
455
Ich telefoniere gerade mit einem dieser Europol-Leute, die wollen, dass ich all mein Geld überweise. Die Geschichte ist abenteuerlich, aber ich darf mit niemandem darüber reden. Ich bin zu blöd, Teamviewer, Supremo und Anydesk zu installieren🤡Was kommt als nächstes?.#cybercrime.
35
38
428
Ich recherchiere seit der #Doctolib-Geschichte, wie deutsche Rechtsprechung ethische Hacker:innen kriminalisiert. Die Anzeige der CDU gegen @LilithWittmann ist ein vorläufiger Höhepunkt. Das ist nicht im Sinne der IT-Sicherheit. Meine Analyse:
10
153
423
Zusammen mit @kaibiermann habe ich in den vergangenen Wochen tief in diesen Leaks gegraben und ich habe echt den Glauben an die IT-Sicherheit verloren. Daten liegen völlig ungeschützt in der Cloud. Betroffene (also die, deren Ausweise, Medizindaten, Kontoauszüge etc. da liegen).
1
39
486
@kaibiermann sind völlig machtlos, weil sich niemand verantwortlich fühlt. Firmen sind kaum erreichbar, und auch die Anbieter der Clouddienste wie AWS, Google. und Microsoftweisen jede Verantwortung von sich.
6
38
471
Ein Vater macht im Auftrag der Kinderärtzin ein Foto seines nackten Kleinkinds. Sein Google-Account wird gesperrt, alle Daten gelöscht, die Polizei ermittelt. Solche Fälle werden sich auch hier häufen mit der #Chatkontrolle. Meine Analyse für @zeitonline:
10
186
419
Ich mache gerade so ein coding bootcamp. Kann es sein, dass programmieren daraus besteht zu behaupten, dass man weiß, was man tut - und sich dann per trial and error durchzuwursteln in Verbindung mit einer ziemlich wilden Informationssuche? 😅.#coding.
81
19
418
@kaibiermann Nichteinmal die, die WIRKLICH was zu verbergen haben - wie jene deutschen Startups, die Scheinfirmen in Dubai eröffnen und darüber ganz offenherzig in aufgezeichneten Telefonaten plaudern - kümmern sich um die Daten. Die Anrufe kann immer noch jede:r anhören.
1
24
458
Geheime Entwicklungsdokumente deutscher Automobil-Firmen, Ausweise von Feuerwehrleuten, Röntgenbilder und Diagnosen, deine Bewerbung, deine Kontoauszüge, aufgezeichnete Telefonate von Steuerflüchtigen UND VIEL MEHR!.
4
26
453
Irgendwer hatte das im März doch schon mal ähnlich interpretiert. 😎.Hoffe mit dem Geld wird jetzt was Sinnvolles gemacht. #LucaApp
13
103
383
Persönliche Daten von mehr als 14.000 Inhaftierten standen offen im Netz, darunter bspw Metadaten von Telefonaten mit Therapeut:innen und Anwält:innen. Danke @LilithWittmann fürs Finden der Lücke! Für ZEIT ONLINE habe ich Daten gesichtet, selbst einen Account erstellt beim 1/.
5
64
375
Nachdem der Artikel nun hinter der Paywall und damit für viele nicht mehr zugänglich ist, schreibe ich hier eine kurze Zusammenfassung einiger der wichtigsten Punkte zum zweifelhaften Erfolg der #LucaApp per Thread (jede Menge mehr Details und Quellen im Originaltext).
9
149
328
Spätestens jetzt, wo Jan Böhmermann den Logbuch:Netzpolitik Podcast empfiehlt, in dem @Linuzifer, @timpritlove und ich alles aufdröseln, was ihr über die #LucaApp und digitales contact tracing wissen müsst, solltet ihr mal zwei Stunden reinhören:
der @janboehm verkündet heutigen @zdfmagazin, dass er mit Sido u Smudo eine Looser-App (o schreibt man das Lusa?) entwickelte u fordert auf, seinen QR-Code zu scannen. Wer das macht, landet bei einer super Linksammlung mit fundierter Kritik zur #LucaApp:
4
71
330
Ooops. Elektronische Patientenakte vielleicht doch nicht so sicher….
19
151
369
„Dieser Auftrag ist doch sicher so interessant für Sie, dass Sie ihn auch kostenlos übernehmen können.“ Äh nein, es ist mein Beruf, nicht mein Hobby. Sind solche Anfragen in anderen Branchen eigentlich auch üblich?.
65
45
318
Hat #Doctolib nicht bemerkt, dass Millionen privater Datensätze offen im Netz standen? Das legt meine Recherche nahe, in der ich Daten verifizieren konnte. Doctolib gibt zudem weiterhin Patientendaten über Arztbesuche an Google weiter, wie wir zeigen.
6
179
311
Erinnert ihr euch, wie ich mich in allerlei #WebEx-Meetings eingeschlichen habe? Behörden, Parteien, die Regierung - und es ging immer weiter. Weil die Sicherheitslücke einfach nicht geschlossen wurde. Meine Recherche ist jetzt für den Reporterpreis nominiert!.💃.#cybersecurity.
9
46
346
Update: Während #Luca-Pressesprecher @markus_bublitz per DM fragt, ob "wir das etwas runterfahren" wollen, veröffentlicht @patrick_hennig Screenshots privater E-Mails und versucht, meine Interviewpartner:innen gegenüber der Chefredaktion zu diskreditieren. Wer eskaliert hier?.
7
56
309
Update zur #Doctolib-Recherche: Ich habe eine lange Antwort der Berliner Datenschutzbeauftragten bekommen – unter anderem zur Frage, wieso Doctolib scheinbar damit durchkommt, 45 anstatt mehrere Millionen geleakter Datensätze zu melden. Darüber schreibe ich noch was. Eins vorab:.
7
125
267
Dieses Zitat fand ich bezeichnend in meiner Recherche zur Frage, wieso Frauen nach wie vor unterrepräsentiert sind in Technik und Wissenschaft. Der Artikel ist jetzt frei zu lesen!.
Wir feiern den internationalen Tag der Frauen und Mädchen in der Wissenschaft 🥳. Erst letztes Jahr haben wir genau zu diesem Thema die Ausgabe “Frauen Vor!” gestaltet. Den Artikel, geschrieben von @evawolfangel, könnt ihr jetzt kostenlos online lesen 👇.
5
43
259
Anfang Mai hat mir #LucaApp-CEO Patrick Hennig mir gesagt, CSV Injections seien nicht möglich und OWASP-Empfehlungen umgesetzt. @mame82 hat einen Angriff demonstriert und zeigt hier, dass auch zweiteres gelogen war. Ich finde es unglaublich, wie Nexenio die Öffentlichkeit belügt.
Nach Video zu "CSV Injection" Schwachstellen in #LucaApp, wird nach wie vor behauptet OWASP Empfehlungen wären umgesetzt gewesen und der Angriff hätte neue Zeichen benutzt. Anbei OWASP Emfehlung und CSV Dateien aus der Demo.- gelb: Zelleninhalt.- grün: erstes zeichen der Zelle
5
113
273
Eine App, die Schüler:innen gezielt aushorcht (Persönlichkeitstests, politische Meinung, Glaube, sexuelle Orientierung. ), diese Daten an Werbeunternehmen verkauft, eine massive Sicherheitslücke hat - und von deutschen Steuergeldern finanziert ist. 😱.Wirklich grauenhaft.
Manche haben Leichen im Keller - andere einen Datenabfluss. Der Auftakt-Blogpost der Schul-App-Wochen (#BackToSchool) bei zerforschung:
4
140
265
Im Ernst: Die #LucaApp hat Daten von zig Millionen Nutzer:innen, weil die Länder die Menschen gezwungen haben, die App zu nutzen. Wer kümmert sich darum, dass die persönlichen Daten von Millionen Bürger:innen wieder aus dem Universum eines privaten Unternehmens entfernt werden?.
#LucaApp hat lange versprochen, die Kommunikation vom Gesundheitsamt zum Nutzer zu vereinfachen. Das Feature wird noch immer als "Luca Connect" ausgerollt. Hoffen wir es ist rechtzeitig fertig, damit kündigende Ämter den Usern noch eine Nachricht schicken können: "App löschen!".
10
87
257
Luca hat die vergrault, die ihnen seit Monaten helfen und eine ganze Reihe an Sicherheitslücken der #LucaApp gemeldet haben. „Nexenio hat diese jedes einzelne Mal geleugnet. Wer sich so unaufrichtig verhält, bekommt irgendwann keinen freundlichen Hinweis mehr“, sagt @Linuzifer.
6
40
258
Interessante Analyse internationaler Forscher:innen, die den Weg der #LucaApp (unabhängig von der miserablen Sicherheit) vorhergesagt haben. Nexenio will jetzt an unsere Ausweisdaten. That’s where the money is. Diese App kann weg, sie hilft uns nicht in der Pandemie. #Datenschutz.
Luca, the dodgy for-profit German QR infrastructure, living up to the predictions @annliffey @linnetelwin @sedyst & I made last yr in @EurJRR, wanting to merge identity authentication (eg ID docs) w Covid attribute attestation: that’s where the €€€ is
4
96
255
Mag sein, dass er nicht genutzt wird - aber das abzuschalten ist doch das mindeste. Wobei: wenn man bedenkt, dass die Bundeswehr daran scheitert, vergangene Meetings zu löschen - vielleicht lässt sich Olaf Scholz' Präsenz bei WebEx auch nicht mehr löschen?.
1
19
261
-auf einmal bekomme ich viele DMs von #LucaApp-Leuten mit der Bitte, dringend mit ihnen zu sprechen, am besten gleich heute. Ich spreche gerne. Es wäre aber natürlich noch besser gewesen, meine Interviewanfragen ernst zu nehmen, bevor der Artikel erscheint.
5
16
249
Yippie! 🎉.
Der #Reporterpreis für die beste Wissenschaftsreportage geht dieses Jahr an @evawolfangel für @riffreporter. Ihre Reportage „Reality Sucks“ skizziert Menschen, für die sich der virtuelle Raum längst echter anfühlt als das reale Leben. Zur Reportage:
15
6
244
Hallo Herr @StefanHennewig, leider erhalten wir von Ihrer Pressestelle keine Antwort - von daher auf diesem Wege: Wie kann man jemanden "aus Versehen" anzeigen? Wann ist Ihnen aufgefallen, dass Sie Responsible Disclosure Verfahren richtig finden? Ziehen Sie daraus Konsequenzen?.
Unsere Anzeige richtet sich NICHT gegen das Responsible Disclosure Verfahren von Lilith Wittmann. RD-Verfahren sind ein guter Weg, um Betroffene auf Sicherheitslücken aufmerksam zu machen. Ich halte diese Verfahren für einen wichtigen Baustein, um IT-Sicherheit zu erhöhen. (2/5).
6
50
234
Habt ihr gewusst, dass #Zoom ein Überwachungstool beinhaltet? Zudem ist unklar, was mit den Daten geschieht. Meine Erfahrungen nach zwei Wochen remote am MIT und in Harvard - jetzt frei auf @riffreporter. Inklusive drei Tage Konferenz in #VirtualReality:.
32
141
224
Die Formulierung der Berliner Zeitung, Presseberichte würden „gestreut“ ist die Wortwahl von Verschwörungstheoretikern u.zeigt zudem fehlendes Verständnis journalistischer Arbeit. Seriöse Journalist:innen recherchieren unabhängig. So kam es zu meinen Artikeln über die #LucaApp 2/.
2
5
218
Wieso löst #LucaApp unsere Probleme nicht? Weil der Flaschenhals bleibt: überlastete Gesundheitsämter, die Menschen anrufen. Es wurde vergessen zu fragen: welches Problem wollen wir lösen? Es wird ein Prozess digitalisiert, der nicht gut funktioniert. 2/.
Wichtiger Punkt, den @LilithWittmann hier anspricht: welches Problem wollen wir eigentlich lösen? Ich beobachte oft, dass Prozesse digitalisiert werden äquivalent zur analogen Vorgehensweise - ohne zu überlegen, ob es sich mit modernen Methoden nicht noch besser lösen lässt.
3
43
212
Uns erschien es seltsam, dass plötzlich jede Menge Bundesländer für jede Menge Geld Lizenzen für eine App kaufen, die unsere Probleme nicht löst und die von Fachleuten als gefährlich eingestuft wird – also haben wir uns das genauer angeschaut und Bedenkliches gefunden. 1/.
7
47
198
Von mir stammten die ersten kritischen Artikel über die #LucaApp und mein einziges „Interesse“ ist das, die Öffentlichkeit zu informieren über gefährliche Sicherheitslücken, durch die es unter anderem möglich war, Gesundheitsämter mit #Ransomware anzugreifen. 3/.
1
10
203
Ich besitze kein Startup, das #LucaApp-Konkurrenten berät. Wenn der Berliner Zeitung nun auffällt, dass es kritische Berichte über Nexenio gibt, stecken dahinter keine „Interessen“, sondern seriöse Recherchen. Das passt offenbar nicht zum Weltbild von Holger Friedrich.
1
6
199
Und es geht weiter: Nexenio behauptet nun öffentlich, sie hätten nichts wissen können von der Sicherheitslücke der #LucaApp. Dabei haben sie mir am 3.5. gesagt, diese sei gefixt. Es ist schlicht gelogen zu sagen, sie seien davon überrascht worden.
1
50
202
E-Mail an Nexenio ist raus. Wir werden diesmal nicht warten können mit der Berichterstattung, bis die Lücke geschlossen ist. Sie schon öffentlich - und wer weiß, ob Nexenio sie diesmal wirklich schließt. Mein Tipp: Nutzt die #LucaApp nicht.
3
31
195
@patrick_hennig @mame82 Ich kann es echt nicht fassen, worüber wir hier diskutieren. Laut OWASP soll keine Zelle mit = beginnen. Sie „vergessen“, dass ein Komma eine neue Zelle eröffnet - und behaupten, Sie hätten deshalb OWASP umgesetzt? Glauben Sie das selbst?.
2
18
198
Zur Feier des Tages habe ich meinen @RiffReporter-Text über #Mastodon und das Fediverse hinter der Bezahlschranke hervor vorgeholt. Dort lest ihr, was anders ist als auf #Twitter und wieso es das Leben aller unterm Strich besser macht. #musk #musktakeover .
8
87
185
Das ist eine Frechheit. Ich habe IN der erwähnten „Medienanfrage“ geschrieben, dass ich die gleiche Frage bereits vor 3 Wochen gestellt habe und #LucaApp-CEO Patrick Hennig damals die Lücke geleugnet hat. Es ist eine dreiste Lüge zu behaupten, sie hätten erst jetzt davon erfahren.
Ich fasse mich kurz . ROT: vor 3 Wochen.PINK: Heute!!!. Für Diskussionen über Farblehre bin ich allerdings noch offen!
5
76
180
Wieso geben Bundesländer mehr als 10 Millionen Euro für die #LucaApp aus (10,5 Millionen sind nur die bekannten Kosten von 6 Ländern. Bundesweit dürfte mehr als das Doppelte anfallen, pro Jahr) – obwohl immer mehr Fachleute vor ihr warnen? Hier kommt das Marketing ins Spiel 6/.
4
24
179
So ein Artikel wird sorgfältig Fakten geprüft – von der Redaktion, vor der Veröffentlichung. Die Redaktion hat selbstverständlich die kompletten Antworten von Herrn Hennig gesehen und auch andere Fakten überprüft. So viel zum Noise, den #Luca hier erzeugt.
6
22
183
Ich versuche, einer großen deutschen Institution eine kritische Sicherheitslücke zu melden. Irgendwann ist es sicher eine gute Geschichte. Gerade bin ich eher entsetzt. (Stay tuned).#itsicherheit #cybersecurity.
14
18
176
Das zeigt erstens, dass sich das Thema nicht technisch lösen lässt (KI ist nicht nachvollziehbar und versteht keinen Kontext) und die #Chatkontrolle scheitern muss. Uund zweitens, dass man sich gut überlegen sollte, von der Willkür welcher Tech-Konzerne man sich abhängig macht.
8
14
174
"Das Infektionsschutzgesetz verlangt keine Erhebung personenbezogener Daten", sagt @UlrichKelber auf meine Frage, ob man künftig allein mit der #CoronaWarnApp anstatt der #LucaApp bei Events einchecken kann. Er fordert, die Länderverordnungen zu ändern.
5
77
182
Yippee - I could dance, so happy I am! I will be a Knight Science Journalism Fellow at MIT from August onwards! Many thanks to all my dear colleagues and friends who supported me! And to my family who is coming with me. I am looking forward to this exciting year in Cambridge!.
We are thrilled to announce our class of fellows for 2019-20! These 10 elite science journalists will spend nine months exploring science, technology, and the craft of journalism at some of the world's top universities. Read more here:
31
4
176
Huch so viele Mentions? Achso, @HonkHase und @kattascha haben Smudo geärgert. Sie haben recht (und deshalb ärgert sich Smudo wohl so): Die #LucaApp schadet mehr als sie hilft - nicht nur wegen der miserablen #ITSicherheit, auch weil sie andere gute Lösungen verhindert und 1/2.
2
33
182
Wieder so eine Software, die nur von den „Richtigen“ benutzt werden darf - weil: was nicht erlaubt ist, gibt es nicht. Hat die neue Videokonferenz-Software für Bayerns Schulen überhaupt keine Sicherheitstests durchlaufen - bis es @LilithWittmann ehrenamtlich tat? #visavidhack
8
47
164
Mir wird jetzt gesagt, #LucaApp nutze keine Fingerprintingdaten. Wieso stehen sie dann in der Datenschutzerklärung? (Screenshot von heute) Ich habe Patrick Hennig mehrmals gefragt, was es damit auf sich hat. Er konnte mir das nicht erklären. Woher soll das Vertrauen kommen?
5
15
173
Wow, great idea: A new Twitter account always points out when the results of a study on mice are interpreted by media as if it was a study on humans. Let’s help him!.
IN MICE.
3
87
167
Entweder Patrick Hennig hat mich bewusst angelogen, was ich ihm eigentlich nicht unterstellen will. Die andere Erklärung wäre, dass #Luca es in drei Wochen nicht schafft, eine gefährliche Sicherheitslücke zu schließen - und niemanden darüber informiert. Fast noch schlimmer.
2
19
167
In meinem nun veröffentlichten Artikel erklärt @mame82, wie ein solcher Angriff skalieren würde in Kombination mit der Möglichkeit massenhafter Fake Checkins, die mit der #LucaApp möglich sind. @Linuzifer bestätigt: das Angriffsszenario ist realistisch.
4
51
165
Die #CoronaWarnApp 2.0 ist da - und damit endlich eine privacy freundliche und dezentrale Möglichkeit zur Eventregistrierung, „mit der Nutzer:innen im Einzelhandel, bei Veranstaltungen oder privaten Treffen per QR-Code einchecken können.“
8
48
169
Die zentrale Architektur der #LucaApp stufen Expert:innen nämlich als gefährlich ein. Das betonen EPFL-Forscherinnen @thsStadler und @carmelatroncoso, die Datenschutzkonferenz - und sogar der Dienstleister ENRW (Screenshot), den #Luca selbst für den Pentest beauftragt hat. 5/
3
30
161
Apropos Vertrauen: Patrick Hennig hat den Interviewtermin für diese Recherche abgesagt und war danach nur noch schriftlich zu erreichen. Auf einige Fragen hat er ausweichend, nicht oder gar falsch geantwortet. Ich hätte sehr viel lieber ein mündliches Interview geführt. Jetzt auf.
2
13
165
Wer's verpasst hat am Wochenende: die Stadt #Stuttgart möchte junge Leute im Club überwachen und Alarm schlagen, wenn sie sich nahe kommen. Die Daten werden zudem gesammelt und fürs ContactTracing genutzt. Die Antworten der Verantwortlichen auf meine Fragen finde ich alarmierend.
@lehr_thorsten @marcelsalathe Sehr geehrter Herr Lehr, zunächst: allein die Idee einer Technologie, die laut Alarm schlägt, wenn Menschen einander nahekommen, finde ich höchst verstörend und dystopisch. Kann es sein, dass an ihrem Projekt kein:e Technikethiker:in beteiligt ist?
25
56
159
Daten von fast 20.000 CDU-Unterstützer:innen & alles, was Privatpersonen diesen an der Haustür gesagt haben (re-identifizierbar). Ich bin geschockt, dass es so einen Datensatz gibt, und dass er offenbar grottenschlecht geschützt war. Danke @LilithWittmann .
6
103
158
Nicht die feine Art, Screenshots von E-Mails zu posten. Aber so kann zumindest jeder sehen, dass ich Herrn Hennig richtig zitiert habe und dass er behauptet, Landesdatenschützer hätten den Source Code geprüft. Die, die ich in der Recherche gefragt habe, haben dem widersprochen.
@evawolfangel @Peter_Schaar @zeitonline Es stimmt einfach nicht was sie geschrieben haben! Hier der Screenshot meiner Antworten:
5
14
159
So langsam wird dieser Thread ein Making Of meiner Recherche. Da ich diese Zitate teils wörtlich wiedergegeben habe, ist die Frage offen, was aus Herrn Hennigs Sicht falsch ist im Artikel. Was passiert als Nächstes? Stay tuned!.
4
7
163
Die Vergabe in Mecklenburg wird derzeit rechtlich geprüft – denn andere finden schon, dass es Vergleichbares auf dem Markt gibt: Etwa 50 weitere Startups haben Check-in-Apps entwickelt, von denen mindestens eines aktuell die Vergabe juristisch anficht. 12/.
1
18
154
Eine E-Mail der Digitalagentur an Luca-CEO @patrick_hennig: es sei wichtig, "die Voraussetzungen für eine Nichtnotwendigkeit einer öffentlichen Ausschreibung sattelfest zu bekommen". Und Hennigs Bestätigung, dass es keine vergleichbare Lösung auf dem Markt gebe. 9/.
2
17
155
Ich habe Testzentren getestet und keine guten Nachrichten: Nachdem @zerforschung durch Sicherheitslücken bei fünf Anbietern Zugriff auf hunderttausende Daten hatte, muss ich leider sagen: das wird nicht besser. In aller Regel sind die Daten schlecht geschützt 1/. #TeamDatenschutz.
Corona-Testzentren verschicken ihre Testergebnisse oft nicht oder schlecht verschlüsselt, zeigt eine Recherche von @evawolfangel. Offenbar sind sichere Verfahren vielen zu umständlich.
4
79
154
Das hier ist die im Artikel erwähnte datenschutzfreundliche #LucaApp-Alternative für eine EventApp. Die ist schon veröffentlicht, wir könnten sofort loslegen - auch ohne darauf warten zu müssen, bis alle Gesundheitsämter eine digitale Schnittstelle haben.
7
27
150
Was Technologie in der Pandemie tun kann, wie Contact Tracing ohne Überwachungstechnologie geht & warum das wichtig ist, was zentral und dezentral ist, was all die Apps tun & wieso #LucaApp keine Lösung ist, darüber habe ich mit @Linuzifer und @timpritlove gesprochen - für euch:.
Ein neuer Eintrag im Logbuch: Wir sprechen mit @evawolfangel über digitale Lösungen für die Coronakrise, die Luca App und die .kommende Version der Corona-Warn-App. LNP387 Magisches Denken #metaebene #podcast.
5
50
155
Und damit Smudo, der uns im Interview freimütig berichtet hat, wie er seine Kontakte nutzt, um seine Botschaft zu verbreiten: dass uns die #LucaApp aus dem Lockdown holt, die Kulturbranche rettet. Seine Auftritte und Versprechungen u.a. in drei Talkshows haben Druck aufgebaut…7/.
1
16
152
. dem Politiker:innen gerne nachgeben. Das zeigen diverse interne Unterlagen, die uns in der Recherche um die #LucaApp vorlagen, unter anderem aus Thüringen. Dort hatte man seit November offenbar daran gearbeitet, Vergaberichtlinien zu umgehen. Der Höhepunkt: 8/.
1
15
149
Das könnte spannend werden für 10 Bundesländer, die Lizenzen der #LucaApp auf Basis von Verhandlungen des IT-Dienstleisters Dataport kaufen – ohne Ausschreibung, wie mir Dataport bestätigte. Die Direktvergabe basiere zudem auf der „Markterkundung eines unserer Trägerländer“ 13/.
1
24
143
Das muss man sich auf der Zunge zergehen lassen: Die HW Capital investiert in Bonify UND BETREIBT Finanztip (beides nicht schwer rauszufinden). Und das @morgenmagazin interviewt dessen Chefredakteur als neutralen Experten zu Bonify?.
Ich hoffe Du hast nicht vergessen zu erwähnen, dass die HW Capital, der VC der @Finanztip-Gründer Robert Haselsteiner und Marcus Wolsdorf, auch bei bonify investiert war.
2
39
145
Immer wieder in dieser Debatte wurde mir dieser Thread von @wired-Redakteur Gideon Lichfield empfohlen. Jetzt, wo die Angriffe der #Luca-Leute zunehmen und deren Versuche, das Narrativ zu ändern, hat mir das sehr geholfen, diese Strategie zu erkennen.
With all the pushback from Facebook against @_KarenHao's recent story, and as one of the editors on the piece, I thought it worth making some observations on the PR strategy Facebook has adopted in response. Other journalists may find this useful.
1
36
149
Puh, diese #Cybercrime-Recherchen kosten ganz schön Zeit😅 .Aber die Geschichte ist einfach zu gut, die sie mir erzählt haben - unter anderem kam ein Auto mit viel Blut darin vor, das auf meinen Namen gemietet war und jede Menge Geldwäsche. Ich schreibs euch ins Buch, stay tuned.
3
2
136
„Über dieses Thema braucht nicht “gestritten” zu werden, weil Fakten für sich sprechen – es sei denn, man ignoriert sie.“. @Linuzifer erklärt dem Chefredakteur der Berliner Zeitung, wieso er kein “Streitgespräch” über die #LucaApp führen möchte.
1
24
147