zerforschung Profile Banner
zerforschung Profile
zerforschung

@zerforschung

Followers
20K
Following
69
Media
296
Statuses
693

reverse engineering in progress. contact us via twitter dm or eMail: [email protected] find us on 🦣: @[email protected]

Joined September 2020
Don't wanna be here? Send us removal request.
@zerforschung
zerforschung
1 year
Unsere Rechercheergebnisse haben wir mit @DanielLaufer und @carlasperg vom rbb geteilt, deren Artikel ihr hier lesen könnt:
0
0
6
@zerforschung
zerforschung
1 year
Wer die ganze Geschichte mit allen Details (inkl. weiter Lücken und einer genauen Timeline) nachlesen möchten, kann das auf unserem Blog tun:
1
0
6
@zerforschung
zerforschung
1 year
So müssten sich 🥦-Connoisseur*innen keine Sorgen um ihre Daten machen und könnten sich auf wichtigere Dinge konzentrieren.
1
0
1
@zerforschung
zerforschung
1 year
Dabei sollte auch bei Cannabis-Clubs sollte Datensparsamkeit gelten und so wenig Daten wie möglich gespeichert werden müssen:.Denn Daten, die gar nicht erst gesammelt und aufbewahrt werden, können auch nicht wegkommen.
1
0
4
@zerforschung
zerforschung
1 year
Nach dem KCanG müssen Anbauvereinigungen viele Daten über ihre Mitglieder erheben: Name, Geburtsjahr, abgegebene Menge, etc. Diese Daten müssen zudem 5 Jahre aufbewahrt und teilweise sogar an die zuständige Behörde übermittelt werden.
1
0
3
@zerforschung
zerforschung
1 year
Doch hier nur CanGuard die Schuld für das Datenleck zu geben greift zu kurz: Denn dass sie so viel Daten überhaupt sammeln, liegt auch am Gesetz:.
1
0
2
@zerforschung
zerforschung
1 year
Schnell bekamen wir eine Eingangsbestätigung, doch bis die Lücken wirklich geschlossen waren, brauchte es über eine Woche und mehrere zusätzliche Meldungen von uns. Erst dann entschied sich CanGuard, die Software erstmal offline zu nehmen und die Lücken damit sicher zu schließen.
1
0
2
@zerforschung
zerforschung
1 year
Solch gravierende Lücken müssen schnellstmöglich geschlossen werden. Daher haben wir wie immer einen Report geschrieben und diesen an das Unternehmen, die zuständige Datenschutzbehörde und das CERT-Bund geschickt.
1
0
3
@zerforschung
zerforschung
1 year
😱 Tatsächlich bekommen wir als Antwort eine Liste aller Nutzer*innen, mit Name, E-Mail-Adresse, gehashtem Passwort, Geburtsdatum und Postleitzahl. Und das war nicht die einzige Lücke, die wir gefunden haben, mehr dazu im Blogpost.
Tweet media one
1
0
2
@zerforschung
zerforschung
1 year
Was passiert wohl, wenn man die Filter club, invitation und role einfach wegließe? 🤔 Der einfachste Weg, das herauszufinden, ist es auszuprobieren….
1
0
6
@zerforschung
zerforschung
1 year
Dabei fällt uns eine Anfrage an die CanGuard-Server auf, mit der die Mitglieder unseres Clubs abgerufen wurden:. /user/all?club=[CLUB_ID]&invitation=accepted&role=user. Bei einem Endpunkt mit "all" im Namen werden wir immer ein bisschen hellhörig 🔦👂.
1
0
5
@zerforschung
zerforschung
1 year
@CanGuard_de ist ein Anbieter solch einer Rundum-Sorglos-Lösung für die Cannabis-Clubs und wirbt mit Datensicherheit. Trotz diesen Versprechungen haben wir uns als CSC registriert und nebenbei ein bisschen in die Entwicklungs-Tools unseres Browsers geguckt 👀
Tweet media one
2
1
4
@zerforschung
zerforschung
1 year
Seit 5 Tagen ist Cannabis legal, ab Juni darf es auch in Cannabis-Social-Clubs angebaut werden 🍃.Bereits jetzt werben Software-Anbieter um diese Vereine – und der erste hat schon alle Daten verloren. Was passiert ist & warum auch das Gesetz Schuld ist:
6
41
102
@zerforschung
zerforschung
2 years
Leider hat Rosenbauer in ihrer Software nicht genau geprüft, wer alles auf diese Daten zugreifen kann. So hatten wir plötzlich die Position von mehr als 4300 Fahrzeugen von 356 Brandbekämpfungsorganisationen von Los Angeles bis Tokyo 🌏.Wie es dazu kam:
8
25
116
@zerforschung
zerforschung
2 years
Brandmeister*in, wir wissen wo dein Auto steht!.Kennt ihr Rosenbauer? Das ist einer der weltweit größten Hersteller von Feuerwehrfahrzeugen 🚒.Und damit man den Überblick nicht verliert, bieten sie Software an, mit der Feuerwehren ihre Fahrzeuge rund um die Uhr GPS-tracken können
9
34
131
@zerforschung
zerforschung
2 years
For @zeitonline, @evawolfangel reported on the vulnerabilities: (in German).
0
3
10
@zerforschung
zerforschung
2 years
We were stunned and of course reported the vulnerabilities. After a few eventful days, the issues are now fixed and we've written up the whole journey here:
1
2
20
@zerforschung
zerforschung
2 years
Unfortunately, we also found a security vulnerability in the DiscoverEU portal: The data of about 245,000 registrations were exposed almost unprotected on the web (see screenshot in the first tweet above).
1
2
9
@zerforschung
zerforschung
2 years
But that's not all: The same agency that implemented the "Passe France Allemagne" also developed a very similar project for the EU Commission: DiscoverEU. Here, 18-year-olds can win a free Interrail pass & travel through Europe.
1
0
7
@zerforschung
zerforschung
2 years
The tickets were quickly sold out - but those with a few technical skills could still get their hands on a pass after registration closed.
1
0
8