Unsere Rechercheergebnisse haben wir mit @DanielLaufer und @carlasperg vom rbb geteilt, deren Artikel ihr hier lesen könnt:

Wer die ganze Geschichte mit allen Details (inkl. weiter Lücken und einer genauen Timeline) nachlesen möchten, kann das auf unserem Blog tun:

So müssten sich 🥦-Connoisseur*innen keine Sorgen um ihre Daten machen und könnten sich auf wichtigere Dinge konzentrieren.

Dabei sollte auch bei Cannabis-Clubs sollte Datensparsamkeit gelten und so wenig Daten wie möglich gespeichert werden müssen:.Denn Daten, die gar nicht erst gesammelt und aufbewahrt werden, können auch nicht wegkommen.

Nach dem KCanG müssen Anbauvereinigungen viele Daten über ihre Mitglieder erheben: Name, Geburtsjahr, abgegebene Menge, etc. Diese Daten müssen zudem 5 Jahre aufbewahrt und teilweise sogar an die zuständige Behörde übermittelt werden.

Doch hier nur CanGuard die Schuld für das Datenleck zu geben greift zu kurz: Denn dass sie so viel Daten überhaupt sammeln, liegt auch am Gesetz:.

Schnell bekamen wir eine Eingangsbestätigung, doch bis die Lücken wirklich geschlossen waren, brauchte es über eine Woche und mehrere zusätzliche Meldungen von uns. Erst dann entschied sich CanGuard, die Software erstmal offline zu nehmen und die Lücken damit sicher zu schließen.

Solch gravierende Lücken müssen schnellstmöglich geschlossen werden. Daher haben wir wie immer einen Report geschrieben und diesen an das Unternehmen, die zuständige Datenschutzbehörde und das CERT-Bund geschickt.

😱 Tatsächlich bekommen wir als Antwort eine Liste aller Nutzer*innen, mit Name, E-Mail-Adresse, gehashtem Passwort, Geburtsdatum und Postleitzahl. Und das war nicht die einzige Lücke, die wir gefunden haben, mehr dazu im Blogpost.

Was passiert wohl, wenn man die Filter club, invitation und role einfach wegließe? 🤔 Der einfachste Weg, das herauszufinden, ist es auszuprobieren….

Dabei fällt uns eine Anfrage an die CanGuard-Server auf, mit der die Mitglieder unseres Clubs abgerufen wurden:. /user/all?club=[CLUB_ID]&invitation=accepted&role=user. Bei einem Endpunkt mit "all" im Namen werden wir immer ein bisschen hellhörig 🔦👂.

@CanGuard_de ist ein Anbieter solch einer Rundum-Sorglos-Lösung für die Cannabis-Clubs und wirbt mit Datensicherheit. Trotz diesen Versprechungen haben wir uns als CSC registriert und nebenbei ein bisschen in die Entwicklungs-Tools unseres Browsers geguckt 👀

Seit 5 Tagen ist Cannabis legal, ab Juni darf es auch in Cannabis-Social-Clubs angebaut werden 🍃.Bereits jetzt werben Software-Anbieter um diese Vereine – und der erste hat schon alle Daten verloren. Was passiert ist & warum auch das Gesetz Schuld ist:

Leider hat Rosenbauer in ihrer Software nicht genau geprüft, wer alles auf diese Daten zugreifen kann. So hatten wir plötzlich die Position von mehr als 4300 Fahrzeugen von 356 Brandbekämpfungsorganisationen von Los Angeles bis Tokyo 🌏.Wie es dazu kam:

Brandmeister*in, wir wissen wo dein Auto steht!.Kennt ihr Rosenbauer? Das ist einer der weltweit größten Hersteller von Feuerwehrfahrzeugen 🚒.Und damit man den Überblick nicht verliert, bieten sie Software an, mit der Feuerwehren ihre Fahrzeuge rund um die Uhr GPS-tracken können

For @zeitonline, @evawolfangel reported on the vulnerabilities: (in German).

We were stunned and of course reported the vulnerabilities. After a few eventful days, the issues are now fixed and we've written up the whole journey here:

Unfortunately, we also found a security vulnerability in the DiscoverEU portal: The data of about 245,000 registrations were exposed almost unprotected on the web (see screenshot in the first tweet above).

But that's not all: The same agency that implemented the "Passe France Allemagne" also developed a very similar project for the EU Commission: DiscoverEU. Here, 18-year-olds can win a free Interrail pass & travel through Europe.

The tickets were quickly sold out - but those with a few technical skills could still get their hands on a pass after registration closed.