Breathing Underwater

Sources and bonus timelapse: https://www.peppercarrot.com/en/miniFantasyTheater/053.html

#webcomic #krita #miniFantasyTheater

Ich brauche Hilfe bzw. belastbare Kontakte wegen eines konkreten Problems mit Trade Republic.

Kurzfassung: Ich bin Trade-Republic-Kunde und habe nach einem Smartphonewechsel faktisch keinen nutzbaren Zugriff mehr auf mein bestehendes Konto/Depot.

Es geht nicht um die Eröffnung eines neuen Accounts und auch nicht darum, dass ich meine PIN vergessen hätte. Nach der PIN-Eingabe verlangt die App eine Selfie-/FaceScan-Verifizierung. Diese schlägt bei mir wegen meiner körperlichen Behinderung wiederholt fehl, weil ich mein Gesicht nicht ausreichend bewusst kontrollieren kann. Zusätzlich kann ich aufgrund meiner Behinderung nicht verbal sprechen. Schriftlich bin ich aber vollständig kommunikationsfähig.

Ich möchte ausdrücklich keine Sicherheitsprüfung umgehen. Ich brauche lediglich einen barrierefrei nutzbaren alternativen Weg zur Identifikation bzw. Wiederherstellung des Zugangs, z.B. PostIdent, manuelle Dokumentenprüfung, schriftliche Rückfragen oder ein anderes Verfahren ohne automatisierten FaceScan und ohne Sprach-/Telefonpflicht.

Der bisherige Supportprozess führt aber in eine Schleife:

- Der App-Chat hatte mein Problem zunächst verstanden und ein Ticket erstellt.
- Danach erhielt ich eine E-Mail wegen „ungewöhnlicher Aktivitäten“ bzw. eingeschränkter Funktionen.
- Trade Republic verweist wiederholt auf die App bzw. „PIN vergessen“.
- Genau dieser App-Zugang ist aber blockiert.
- Eine angeblich vorliegende Antwort in der App kann ich nicht lesen, weil ich beim Öffnen wieder in PIN/PIN-Zurücksetzung und danach erneut in die Selfie-/FaceScan-Verifizierung gerate.
- Auf meine Bitte, mir die Antwort per E-Mail oder über einen anderen barrierefrei zugänglichen schriftlichen Kanal zu schicken, kam erneut nur der Standardverweis auf App/PIN vergessen.

Auch eine telefonische Klärung über Dritte ist praktisch nicht möglich: Soweit für mich ersichtlich, stellt Trade Republic keine öffentlich nutzbare Support-Telefonnummer für reguläre Kundenanliegen bereit, sondern nur eine Sperrhotline. Ein telefonischer Kontakt zum Support scheint ansonsten nur über die App bzw. aus dem eingeloggten App-Bereich heraus möglich zu sein, aber genau dorthin komme ich aber nicht mehr.

BaFin und MLBF/Barrierefreiheit sind bereits informiert. Die BaFin hat meine Beschwerde an Trade Republic weitergeleitet und Trade Republic aufgefordert, mir innerhalb von vier Wochen eine Stellungnahme zukommen zu lassen. Eine PDF-Dokumentation mit Chatverlauf, E-Mail-Verkehr, Nachträgen und Belegen liegt vor. Diese werde ich aber nicht öffentlich posten, sondern nur vertraulich an passende Stellen/Redaktionen weitergeben.

Besonders absurd: Trade Republic bewirbt inzwischen, nach meinem Vorfall, selbst eine Authentifizierungs-App zur Bestätigung von Anmeldungen. Genau so ein nicht face-scan-abhängiger Sicherheitsweg wäre in meinem Fall naheliegend. Für mich hilft er aber offenbar nicht mehr, weil die Aktivierung erst in den Sicherheitseinstellungen möglich ist, also nur, wenn man bereits wieder Zugriff auf die App hat.

Zum Vergleich: Bei SmartBroker+, das ich parallel ebenfalls nutze, war der Umzug auf das neue Smartphone innerhalb von etwa 30 Sekunden möglich: Auf dem alten, bereits autorisierten Smartphone erschien ein Reauth-Popup, ich bestätigte per Fingerabdruck, danach war das neue Gerät freigegeben. Aus meiner Sicht zeigt das, dass ein sicherer Gerätewechsel ohne erneute Selfie-/FaceScan-Prüfung technisch und praktisch möglich ist.

Mir geht es nicht um einen Shitstorm. Ich möchte schlicht wieder rechtmäßig und barrierefrei Zugang zu meinem bestehenden Konto/Depot bekommen.

Die Bafin und die MLBF/Barrierefreiheit habe ich bereits angeschrieben, aber bisher bislang noch ohne erkennbaren Fortschritt.

Hat jemand belastbare Kontakte zu Trade Republic, Verbraucherschutz, Presse, c’t/Heise, Barrierefreiheit im Banking, BFSG/MLBF oder juristische Erfahrung mit solchen App-only-Barrieren bei Finanzdienstleistern?

Hinweise gerne per PN oder E-Mail.

#TradeRepublic #Barrierefreiheit #BFSG #Banking #Verbraucherschutz #Accessibility #Finanzen

back in 2022 i found a bug that would let me, with no user interaction, turn any chromium-based browser into a permanent js botnet member

in edge, you wouldn't even notice anything out-of-place, and would stay connected to the c2 even after closing the browser

today, almost 4 years later, the bug is finally public:
https://issues.chromium.org/issues/40062121

RE: https://hachyderm.io/@ChrisShort/116606591908387955

If you want on to Microsoft's internal network, CORPNET, publish or own an existing a VSCode extension.

The Visual Studio Code Marketplace, which Microsoft own, is completely uncontrolled.

Anybody can publish an extension, it provides code execution on endpoints, extensions auto update by default, "verified" blue tick extensions just need any domain registration, and there's no endpoint security controls at all around what users can install.

VSCode is an absolute security shittip as a result.