Manuel 'HonkHase' Atug

#Datenleck bei Plattform für Cannabis-Clubs

"Namen, Mail-Adressen und Geburtsdaten waren sichtbar...kommen die Dokumentationspflicht und lange Speicherzeit einer privaten #Vorratsdatenspeicherung gleich, die wie eine Einladung zum #Missbrauch wirke"
https://www.tagesschau.de/investigativ/kontraste/cannabis-clubs-daten-100.html

Datenleck bei Plattform für Cannabis-Clubs

Daten Hunderter Cannabis-Clubs waren nach Kontraste-Informationen öffentlich einsehbar. Aufgedeckt hat das Leck ein Kollektiv aus Sicherheitsforschern. Kritiker warnen schon länger vor Datenschutzproblemen. Von D. Laufer und C. Spangenberg.

tagesschau.de
Apr 6, 2024 at 7:04amWeb
Show threadAlltagsradlerApr 6, 2024
@HonkHase hier die detaillierte Geschichte bei @zerforschung
https://zerforschung.org/posts/canguard/
Seit dem 1. April ist Bubatz legal, Datenlecks aber weiterhin nicht

Kiffer aller (Bundes-)Länder vereinigt euch und jubelt, seit dem 01.04. ist Bubatz legal1. In freudiger Erwartung auf den 01.07., an dem die nächsten Regelungen aus dem Cannabis-Gesetz in Kraft treten, sprießen nun in ganz Deutschland die Cannabis Social Clubs (CSCs) aus dem Boden und brauchen zum Wachsen nicht nur Samen, Wasser und viel Licht, sondern natürlich auch gute Software. So gibt es schon jetzt es eine ganze Reihe Anbieter, die den neuen Markt gerochen2 haben und speziell auf CSCs ausgerichtete Software anbieten. Als wir davon gehört haben, hatten wir gleich so ein Kratzen im Hals und ein schlechtes Bauchgefühl – das sich leider bestätigte: Nach kurzer Zeit fanden wir ein Datenleck mit Details von mehr als 1.000 CSC-Interessierten - und das Resultat von schlechter Gesetzgebung.

Show threadTimothy MartinApr 6, 2024

@alltagsradler @HonkHase @zerforschung

Die Entwickler hätten besser eine KI den Job machen lassen..

Show threadAndreas TengickiApr 6, 2024
@Jemandzuhause @alltagsradler @HonkHase @zerforschung Das war bestimmt eine KI, denn Vorlagen mit schlechten manipulierbaren Queries über das unverschlüsselte GET eines https Requests werden zu Aber-Tausenden im Trainingsmaterial sein. Alleine auch weil man sich in all den Tutorials nicht die Mühe macht, es richtig zu machen.
Show threadLukas HvGApr 6, 2024

@alltagsradler @HonkHase @zerforschung

Gibt es eigentlich irgendwelche technischen Anforderungen an die Buchführung von CSCs?
Könnte man das nicht sogar als Papierkartei führen?

Show threadC.Suthorn Apr 6, 2024

@HonkHase

Ich dachte erst es geht um csc-dachverband.de eine website, die alle canabis-social-clubs auflistet. Aber es geht um eine software, die von canabis-clubs zur mitgliederverwaltung verwendet wird und deren daten über ihre mitglieder im internet zugänglich waren (wo sich die frage stellt, warum eine solche mitgliederverwaltungssoftware überhaupt eine schnittstelle zum internet hat, warum darüber mitgliedsdaten abrufbar sind und warum diese funktion standardmäßig aktiviert ist. - die antwort dürfte lauten, dass diese daten nicht lokal gespeichert sind, sondern in einer cloud des herstellers der software und dass sie in der cloud nicht e2e-verschlüsselt, bzw in der cloud überhaupt nicht verschlüsselt sind und weder einzelnen kunden individuelle credentials zugeordnet sind, den zugriffsberechtigten innerhalb eines clubs keine individuellen datenbank-accounts, den datenbank-accounts keine rollen, die bestimmte aktionen erlauben oder verbieten und der datenbankzugriff nicht auf stored procedures beschränkt, die nur der softwarehersteller bearbeiten darf).