kantorkelCCC veröffentlicht Bekennerschreiben in D-Trust-Affäre und empfiehlt Fümpf-Punkte-Plan: https://www.ccc.de/de/updates/2025/dont-trust
derPUPE@kantorkel well played ... danke
Rince@derPUPE @kantorkel hmm, ungewöhnlich scharf formuliert. Kann aber auch an der Reaktion von d-trust liegen
Chris@kantorkel weiss man wie lange "zurück" die Daten dort aufbewahrt worden sind?
ein befreundeter Arzt hat sich 2023 nen HBA bestellt und möchte wissen ob er da drin sein kann(?)
Info von d-trust bekam er nix
ein befreundeter Arzt hat sich 2023 nen HBA bestellt und möchte wissen ob er da drin sein kann(?)
Info von d-trust bekam er nix
terpsichore@cy @kantorkel Wird ggf. bald von der Kammer informiert, die sind datenschutzrechtlich verantwortlich.
@terpsichore @kantorkel meinst du sowas?
https://www.kvsachsen.de/fuer-praxen/aktuelle-informationen/praxis-news/datenschutzvorfall-bei-der-bundesdruckerei-d-trust
ich frage mich ob da zumindest die Personen, deren Daten dort abrufbar waren, aktiv (und individuell) angeschreben werden
Datenschutzvorfall bei der Bundesdruckerei (D-Trust) – Kassenärztliche Vereinigung Sachsen
Hiermit informieren wir Sie, dass die Bundesdruckerei Ziel eines Angriffs auf das Antragsportal für elektronische Heilberufsausweise (eHBA) und Praxisausweise (SMC-B-Karten) geworden ist.
@cy @kantorkel Nein, ich meine schon eine persönliche Information der Betroffenen. (Peinlich, dass das nicht schneller geht, ist aber soweit ich weiß in fast keinem Sektor / Kammerbereich schon geschehen.)
GrumpyApeNice, wie dtrust das Wort "Sicherheitsforscher" immer nett in "" gepackt hat.
Die sind echt pissed. Schön.
Aber ein Eingeständnis, dass sie einen peinlichen Fehler gemacht haben, wird es nicht geben. Hoffentlich gibt's wenigstens hinter den Kulissen ein paar ordentliche Gespräche mit der Projektleitung.
thunfisch@kantorkel Lese ich das richtig, dass da ein API Endpunkt ohne jegliche Authentifizierung oder gar Authorisierung im Netz hing, und eins da lustig Objekte enumerieren lies bis man getroffen hat?
Also bei sowas würde ich mit unseren Auszubildenden ein sehr langes Gespräch zu den absoluten Grundlagen der IT-Sicherheit einberaumen. Azubis genießen da Welpenschutz. Der "Vorreiter für sichere digitale Identitäten" sollte da die volle Härte der DSGVO zu spüren bekommen.
christina | twyn!b@kantorkel @thunfisch was genau machen die nochmal beruflich? (/s)
Jenny 🏳️🌈 @ WHY 2025@kantorkel Holly shit das ist schon beeindruckend inkompetent was d(on't)trust da gebaut hat.
Mauser II"Vertrauen is gut, Kontrolle ist besser."
D-Trust: "Es gibt einen Grund, warum wir D-Trust und nicht D-Control heißen."
P1Madsen@kantorkel Gut das ich rechtzeitig der ePA Grundsätzlich Widersprochen habe, Allerdings sind nach dem Rollout der ePA, alle anderen Datensätze nicht sicher. Es zeigen sich Grundlegende Probleme in der Infrastruktur der ePA die leider noch nicht angegangen werden. Warum das so ist erschließt sich mir allerdings nicht ?!
Dont Panic 📯@kantorkel
Fümpf ist Trümpf 🖐️