zerforschung - Network

Coordinated Vulnerability Jeopardyhttps://chaos.social/@zerforschung/112927612979496434

Coordinated Vulnerability Jeopardy

https://chaos.social/@zerforschung/112927612979496434

»Bitte verwenden Sie diese E-Mail-Adresse ausschließlich für Presseanfragen.«Jetzt müssen wir Sicherheitslücken auch noch als...

»Bitte verwenden Sie diese E-Mail-Adresse ausschließlich für Presseanfragen.«

Jetzt müssen wir Sicherheitslücken auch noch als Presseanfragen formulieren. Manche Unternehmen machen es uns wirklich nicht leicht.

Unsere Rechercheergebnisse haben wir mit @daniellaufer und Carla Spangenberg vom rbb geteilt, deren Artikel ihr hier lesen könnt:...

Unsere Rechercheergebnisse haben wir mit @daniellaufer und Carla Spangenberg vom rbb geteilt, deren Artikel ihr hier lesen könnt: https://www.tagesschau.de/investigativ/kontraste/cannabis-clubs-daten-100.html

Wer die ganze Geschichte mit allen Details (inkl. weiter Lücken und einer genauen Timeline) nachlesen möchten, kann das auf unserem Blog...

Wer die ganze Geschichte mit allen Details (inkl. weiter Lücken und einer genauen Timeline) nachlesen möchten, kann das auf unserem Blog tun: https://zerforschung.org/posts/canguard/

Dabei sollte auch bei Cannabis-Clubs sollte Datensparsamkeit gelten und so wenig Daten wie möglich gespeichert werden müssen:Denn Daten,...

Dabei sollte auch bei Cannabis-Clubs sollte Datensparsamkeit gelten und so wenig Daten wie möglich gespeichert werden müssen:
Denn Daten, die gar nicht erst gesammelt und aufbewahrt werden, können auch nicht wegkommen.

So müssten sich 🥦-Connoisseur*innen keine Sorgen um ihre Daten machen und könnten sich auf wichtigere Dinge konzentrieren.

Doch hier nur CanGuard die Schuld für das Datenleck zu geben greift zu kurz: Denn dass sie so viel Daten überhaupt sammeln, liegt auch am...

Doch hier nur CanGuard die Schuld für das Datenleck zu geben greift zu kurz: Denn dass sie so viel Daten überhaupt sammeln, liegt auch am Gesetz. Nach dem KCanG müssen Anbauvereinigungen viele Daten über ihre Mitglieder erheben: Name, Geburtsjahr, abgegebene Menge, etc.
Diese Daten müssen zudem 5 Jahre aufbewahrt und teilweise sogar an die zuständige Behörde übermittelt werden.

Solch gravierende Lücken müssen schnellstmöglich geschlossen werden. Daher haben wir wie immer einen Report geschrieben und diesen an das...

Solch gravierende Lücken müssen schnellstmöglich geschlossen werden. Daher haben wir wie immer einen Report geschrieben und diesen an das Unternehmen, die zuständige Datenschutzbehörde und das CERT-Bund geschickt.

Schnell bekamen wir eine Eingangsbestätigung, doch bis die Lücken wirklich geschlossen waren, brauchte es mehr als eine Woche und mehrere zusätzliche Meldungen von uns. Erst dann entschied CanGuard sich, ihre Software erstmal offline zu nehmen und die Lücken damit sicher zu schließen.

😱 Tatsächlich bekommen wir als Antwort eine Liste aller Nutzer*innen, mit Name, E-Mail-Adresse, gehashtem Passwort, Geburtsdatum und...

😱 Tatsächlich bekommen wir als Antwort eine Liste aller Nutzer*innen, mit Name, E-Mail-Adresse, gehashtem Passwort, Geburtsdatum und Postleitzahl.

Und das war nicht die einzige Lücke, die wir gefunden haben, mehr dazu im Blogpost.

Dabei fällt uns eine Anfrage an die CanGuard-Server auf, mit der die Mitglieder unseres Clubs abgerufen...

Dabei fällt uns eine Anfrage an die CanGuard-Server auf, mit der die Mitglieder unseres Clubs abgerufen wurden:

/user/all?club=[CLUB_ID]&invitation=accepted&role=user

Bei einem Endpunkt mit "all" im Namen werden wir immer ein bisschen hellhörig 🔦👂.
Was passiert wohl, wenn man die Filter club, invitation und role einfach wegließe? 🤔
Der einfachste Weg, das herauszufinden, ist es auszuprobieren…

CanGuard ist ein Anbieter solch einer Rundum-Sorglos-Lösung für die Cannabis-Clubs. Neben Social-Club-Features werben sie auch mit...

CanGuard ist ein Anbieter solch einer Rundum-Sorglos-Lösung für die Cannabis-Clubs. Neben Social-Club-Features werben sie auch mit Datensicherheit. Trotz diesen Versprechungen haben wir den Dunst der Stunde 💨 genutzt, uns als CSC registriert und nebenbei ein bisschen in die Entwicklungs-Tools unseres Browsers geguckt 👀

Seit 5 Tagen ist Cannabis legal, ab Juni darf es auch gemeinschaftlich in Cannabis-Social-Clubs angebaut werden 🍃Bereits jetzt werben die...

Seit 5 Tagen ist Cannabis legal, ab Juni darf es auch gemeinschaftlich in Cannabis-Social-Clubs angebaut werden 🍃
Bereits jetzt werben die ersten findigen Software-Anbieter um diese Vereine – und der erste hat schon alle Daten verloren.
Was genau passiert ist und warum eigentlich auch das Gesetz Schuld ist:
https://zerforschung.org/posts/canguard/

Exklusiv für alle auf dem #CCCamp23: Heute, Tag 4, 20:30 Uhr machen wir »Ask a zerforschi« – wir versuchen uns daran, die Fragen zu...

Exklusiv für alle auf dem #CCCamp23:
Heute, Tag 4, 20:30 Uhr machen wir »Ask a zerforschi« – wir versuchen uns daran, die Fragen zu beantworten, die euch seit langem unter den Nägeln brennen. Und es gibt erntefrische Sticker für euch.
Kommt rum: Im Linked Open Data Village, bei den Liegestühlen direkt am Gate 2. https://map.events.ccc.de/camp/2023/map/#20/53.0313223/13.3099644

Leider hat Rosenbauer in ihrer Software nicht genau geprüft, wer alles auf diese Daten zugreifen kann. So hatten wir plötzlich die...

Leider hat Rosenbauer in ihrer Software nicht genau geprüft, wer alles auf diese Daten zugreifen kann. So hatten wir plötzlich die Position von mehr als 4300 Fahrzeugen von 356 Brandbekämpfungsorganisationen von Los Angeles bis Tokyo 🌏
Wie es dazu kam und wie Rosenbauer darauf (nicht) reagiert hat, lest ihr hier: https://zerforschung.org/posts/rosenbauer/

Brandmeister*in, wir wissen wo dein Auto steht!Kennt ihr Rosenbauer? Das ist einer der weltweit größten Hersteller von Feuerwehrfahrzeugen...

Brandmeister*in, wir wissen wo dein Auto steht!
Kennt ihr Rosenbauer? Das ist einer der weltweit größten Hersteller von Feuerwehrfahrzeugen 🚒
Und damit man den Überblick nicht verliert, bieten sie Software an, mit der Feuerwehren ihre Fahrzeuge rund um die Uhr GPS-tracken können.

For ZEIT Online @evawolfangel reported on the vulnerablities:...

For ZEIT Online @evawolfangel reported on the vulnerablities: https://www.zeit.de/digital/datenschutz/2023-06/freundschaftspass-frankreich-website-hacker (in German)

We were stunned and of course reported the vulnerabilities. After a few eventful days, the issues are now fixed and we've written up the...

We were stunned and of course reported the vulnerabilities. After a few eventful days, the issues are now fixed and we've written up the whole journey here: https://zerforschung.org/posts/freundschaftspass-en/

But that's not all: The same agency that implemented the "Passe France Allemagne" also developed a very similar project for...

But that's not all: The same agency that implemented the "Passe France Allemagne" also developed a very similar project for the EU Commission: DiscoverEU. Here, 18-year-olds can win a free Interrail pass & travel through Europe.

Unfortunately, we also found a security vulnerability in the DiscoverEU portal: The data of about 245,000 registrations were exposed almost unprotected on the web (see screenshot in the first tweet above).

To celebrate the Franco-German Friendship, the german minister of transportation Wissing and his french colleague Beaune came up with...

To celebrate the Franco-German Friendship, the german minister of transportation Wissing and his french colleague Beaune came up with something special: 30,000 free Interrail tickets per country for travel in 🇩🇪 and 🇫🇷 for young adults between 18 and 27.

The tickets were quickly sold out - but those with a few technical skills could still get their hands on a pass after registration closed.

The "Passe France Allemagne", free train tickets for young people from germany and france, were immediately sold out last week....

The "Passe France Allemagne", free train tickets for young people from germany and france, were immediately sold out last week. But with a few tricks, you could still get one afterwards. How this was possible, and how we also found a databreach with 245,000 records… 🧵

Für ZEIT online hat @evawolfangel über die Lücke...

Für ZEIT online hat @evawolfangel über die Lücke berichtet:
https://www.zeit.de/digital/datenschutz/2023-06/freundschaftspass-frankreich-website-hacker 🤝