Die gute @evawolfangel hat wieder etwas tiefer an der Materie Sicherheit gebohrt, diesmal bei der D-Trust.
zeit.de/digital/datenschutz/20…
Paywall, aber dazu kurz ein paar Infos:
Es ist für einen "qualifizierten Vertrauensdienstleister" wie die D-Trust ehrlich gesagt untragbar, so banale Lücken wie Insecure Direct Object References (Nummern hochzählen in Endpunktem) überhaupt auch nur zu haben. Das Business von Vertrauensdienstleistern ist Trust, dazu gehört vor allem Vertraulichkeit und Integrität…
Elektronische Patientenakte: Private Daten von Ärzten waren im Netz zugänglich
Neuer Ärger mit der digitalen Patientenakte: 170.000 Datensätze mit Ausweis- und Geburtsdaten von Ärzten waren mit wenig Aufwand auffindbar. Ärztekammern warnen.Eva Wolfangel (ZEIT ONLINE)
Eva Wolfangel hat dies geteilt.
Sherlock Schaf
Als Antwort auf Bianca Kastl • • •Bianca Kastl
Als Antwort auf Bianca Kastl • • •Wenn wir auf den Impact dessen sehen, schwankt die Schätzung über das genaue Ausmaß.
Der MDR geht davon aus, es seien "mindestens 65.000 Menschen in Deutschland betroffen – darunter Ärzte, Justizangestellte, Richter, Gerichtsvollzieher, Rechtsanwälte."
Der Impact geht nach der Recherche von Eva eher noch höher.
Das Problem an solchen trivialen Angriffen ist, dass sie massenhafte Türöffner für sehr gezieltes Phishing auf allerlei Personen sein können, die Schlüssel zu wichtigen Systemen haben
Bianca Kastl
Als Antwort auf Bianca Kastl • • •D-Trust-Datenleck: Hacker wollte auf Sicherheitslücke aufmerksam machen
Marcel Roth, MDR SACHSEN-ANHALT (MDR)Bianca Kastl
Als Antwort auf Bianca Kastl • • •Weil die D-Trust aber ein sehr spezieller Laden ist, eine Behörde quasi, passiert jetzt vielleicht aber … gar nichts.
"Unklar ist bislang, ob die zuständige Bundesdatenschützerin eine Geldbuße verhängen will. D-Trust ist eine 100-prozentige Tochter des Bundes. Und Datenschützer können hierzulande eigentlich keine Bußgelder gegen andere Behörden verhängen – anders als in anderen Ländern, die die Datenschutzgrundverordnung der EU strenger auslegen."
Damit trauen sich weiter alle selbst.
Lacrosse 🥍
Als Antwort auf Bianca Kastl • • •funkybyrd 🐦🔥
Als Antwort auf Bianca Kastl • • •„[J]eder Mitgliedstaat [kann] Vorschriften dafür festlegen, ob und in welchem Umfang gegen Behörden und öffentliche Stellen, die in dem betreffenden Mitgliedstaat niedergelassen sind, Geldbußen verhängt werden können.“ (Art. 87 Abs. 7) Mitgliedstaaten können also auch davon absehen, Bußgelder gegen… (1/3)
funkybyrd 🐦🔥
Als Antwort auf funkybyrd 🐦🔥 • • •funkybyrd 🐦🔥
Als Antwort auf funkybyrd 🐦🔥 • • •Bianca Kastl
Als Antwort auf funkybyrd 🐦🔥 • • •EloPup
Als Antwort auf Bianca Kastl • • •Würde sagen, man könnte das zum Anlass nehmen, die Befugnisse und Sanktionierungsmöglichkeiten der Datenschützer:innen auszuweiten 🤔.
Irgendeine Art von Kontrolle muss es ja geben, sonst können wir das mit dem Qualitäts- und Sicherheitsanspruch (gerade bei sensiblen Daten) gleich bleiben lassen…
Felix Eckhardt
Als Antwort auf Bianca Kastl • • •Bianca Kastl
Als Antwort auf Bianca Kastl • • •Zu den Möglichkeiten, wie sich Behörden belangen lassen würde:
mastodon.social/@funkybyrd/113…
funkybyrd 🐦🔥
2025-02-03 10:14:04
Eva Wolfangel
Als Antwort auf Bianca Kastl • • •Bianca Kastl hat dies geteilt.
Rince
Als Antwort auf Eva Wolfangel • • •Rince
Als Antwort auf Eva Wolfangel • • •Klaudia (aka jinxx)
Als Antwort auf Rince • • •Ulrich Kelber
Als Antwort auf Eva Wolfangel • • •Eva Wolfangel
Als Antwort auf Ulrich Kelber • • •Ich versuche es nochmal mit dieser Begründung.
@bkastl
Eva Wolfangel
Als Antwort auf Eva Wolfangel • • •Das schlägt das vermutlich, oder?
@bkastl
Little Detritus
Als Antwort auf Eva Wolfangel • • •Müsste es nicht zumindest Kommunikation mit den zuständigen Aufsichtsbehörden geben?
Die sollten ja nicht ausgenommen sein.
Afaik sind das BSI, BfDI und BMF oder?
Ulrich Kelber
Als Antwort auf Eva Wolfangel • • •will nicht
Als Antwort auf Ulrich Kelber • • •@ulrichkelber
das der bund noch immer torbrowser/Tornetzwerk aussperrt zeugt von Ignoranz und offensichtlichem Unvermögen.
Musste @bfdi unbedingt sich dort hosten? Gab es keine andere Möglichkeit Zugang zu Dokumenten zu ermöglichen?
@evawolfangel @bkastl
tessarakt
Als Antwort auf Bianca Kastl • • •Thomas Fricke (he/him)
Als Antwort auf Bianca Kastl • • •Echt jetzt, das triviale "Nummern hochzählen in Endpunkten" hat einen hochtrabenden Namen?
"Insecure Direct Object References"
Bianca Kastl
Als Antwort auf Thomas Fricke (he/him) • • •@thomasfricke
Klar. Gibt auch ein Insecure Direct Object Reference Prevention Cheat Sheet
cheatsheetseries.owasp.org/che…
Insecure Direct Object Reference Prevention - OWASP Cheat Sheet Series
cheatsheetseries.owasp.orgwaldi
Als Antwort auf Bianca Kastl • • •Dazu auch noch: groups.google.com/a/mozilla.or…
Irgendwie glaube ich denen langsam nicht mehr, dass sich so ein Fuckup nicht durch mehr als eine Abteilung zieht.
d-trust data protection incident
groups.google.comderPUPE
Als Antwort auf Bianca Kastl • • •nadaka
Als Antwort auf Bianca Kastl • • •urx
Als Antwort auf Bianca Kastl • • •