Jeg Infiltrerede Danmarks Overvågningsnet [video, 30min] - Feddit.dk

Lemmy

Opfølgning på aldersverifikation i e-boks - Feddit.dk

Jeg lavede et opslag i sidste uge hvor jeg kritiserede den nye aldersverifikation i e-Boks fordi den - stik imod hvad de lover - tillader bevismodtagere at bruge aldersbeviserne til at tracke brugernes færden. Jeg slettede imidlertid indlægget da jeg på Reddit modtog et svar fra en person som jeg antager er involveret i udviklingen, og denne person sendte et link til en teknisk designbeskrivelse som de påstod modbeviste det jeg sagde. Jeg blev lidt nervøs for at de havde ret, og slettede derfor mit indlæg indtil jeg havde verificeret alle påstande, idet jeg ikke er interesseret i at sprede misinformation. Det viser sig at jeg ikke tog fejl i min hovedkritik, nemlig at implementation af aldersverifikation i e-Boks genbruger det samme aldersbevis i op til et halvt år og dermed effektivt set er en tracking cookie. Der hvor jeg havde taget fejl var om hvilken standard der var blevet anvendt i implementationen (overordnet set en irrelevant detalje i den store sammenhæng, men det er stadig vigtigt at få detaljerne korrekte), og derudover at det ikke var rigtigt at kopiering af aldersbeviserne er trivielt. Det beskytter e-Boks rent faktisk imod, det var bare ikke tydeligt hvornår ens præsentation af aldersbeviset blev gendannet, og jeg overså det derfor. Jeg har lavet en app der kan demonstrere problemet og har også skrevet en længere gennemgang af både AltID og e-Boks aldersverifikation her: https://github.com/agecredentialscanner/scanner [https://github.com/agecredentialscanner/scanner]

PSA: Digital anonym aldersverifikation i e-boks er ikke anonym - Feddit.dk

Som nogle af jer måske har lagt mærke til, så har e-boks uden større fanfare introduceret et digitalt aldersbevis i deres app, og de skriver at den tillader dig anonymt at dele din alder med andre. Jeg har kigget lidt næmere på det data der er indeholdt i aldersbeviset da jeg var nysgerrig på hvordan e-boks mon beskytter din identitet, og det helt korte svar er selvfølgelig: det gør de overhovedet ikke. Lidt længere sagt: Selve aldersbeviset indeholder kun din alder som læsbar data, men det samme aldersbevis bliver anvendt igen og igen alle steder hvor du skal godkende dig og bliver kun genopfrisket hver 6. måned. Beviset er lige så anonymt som et telefonnummer eller en email, og e-boks vil til enhver tid kunne sige hvem det er der er knyttet til et givent aldersbevis. Det kan så let som ingenting anvendes som et sporingsværktøj hvis nogen skulle finde på det. F.eks. kunne en sammenslutning af værtshuse sagtens blive enige om en sortliste af aldersbeviser der ikke må lukkes ind, og hvis aldersbeviserne gemmes (du har som borger ingen mulighed for at tjekke om de bliver det når nogen scanner det) så kan myndighederne også senere gå til e-boks og finde ud af hvem der har været hvor og hvornår. Den gode nyhed er så, at det også er trivielt at kopiere et aldersbevis fordi udviklerne hos e-boks er nogle lallende amatører. Du kan ganske enkelt optage en video af app’en (aldersbeviset er for stort til at være i en enkelt QR-kode, så det vises i 6 koder der hurtigt skifter) og sende den til en anden person som så åbner den på deres telefon. Man kan også nemt stjæle andre folks beviser ved at klæde sig ud som dørmand og scanne løs i en kø. Voila. Standarden bag aldersbeviset, “Mobile Driver’s License” (ISO/IEC 18013-5), kræver faktisk at man først skal scanne en “challenge” og derefter generere et unikt bevis der kun passer til denne challenge, netop for at undgå kopiering, men genierne hos e-boks der har presset den her dampende implementation ud mellem ballerne har specifikt omgået dette ved at indsætte hardcodede dummy-værdier i de relevante felter i datastrukturen. Det er altså ikke blot uvidenhed men overlagt forkert implementation af en standard. Jeg kan også se at AltID-app’en er kommet ud i Play Store, og jeg ville gerne have lavet en tilsvarende analyse for den. Det kan jeg dog ikke da genierne hos Digitaliseringsstyrelseren - en styrelse der efter sigende arbejder for at gøre os mindre afhængige af amerikanske techvirksomheder - har valgt at app’en ikke må kunne køre GrapheneOS der lige nu er det bedste og mest sikre alternativ til Android hvis du gerne vil gøre dig uafhængig af Google og Apple. Tilføj meget gerne en negativ kommentar og en stjerne til AltID i Play Store hvis du er enig med mig i at dette er uacceptabelt. Jeg har lige gjort det, men fik på bedste dystopiske vis min anmeldelse fjernet af en automatisk bot fordi “Reviews must not contain political or social commentary, nor should they include solicitations”.

European Parliament ditches Google for French search firm over privacy concerns

The switch lands as EU officials prepare a broader push to wean off US tech.

Det politiske grundlag for firkløverregeringen

Rapport annuel : le bilan et les actions marquantes de la CNIL en 2025

Chaque année, la CNIL publie son rapport d'activité pour faire le point sur ses actions autour de ses quatre grandes missions : informer et protéger le grand public, accompagner et conseiller les professionnels et les pouvoirs publics, anticiper et innover pour construire le numérique de demain et, enfin, contrôler et sanctionner les manquements aux exigences en matière de protection des données, qui découlent notamment du règlement général sur la protection des données (RGPD).