Macher ignorierten Gefahr
Luca-App: Angriffe auf Gesundheitsämter waren möglich
Die direkte Verbindung, die die privatwirtschaftliche Luca-App zur Kontakterfassung mit den Gesundheitsämtern der an das Luca-System angeschlossenen Bundesländer aufbaut, hat Angriffe auf Behördenrechner möglich gemacht.
Dies demonstriert das eingebettete YouTube-Video des Security-Spezialisten Marcus Mengs, das die Schwachstelle beleuchtet, die nicht nur ein Abfangen privater Daten, sondern auch Ransomware-Angriffe auf die Ämter möglich gemacht habe.
Bei dem im Video gezeigten Angriff spielen Nutzer der Luca-App den angeschlossenen Gesundheitsämtern schadhafte Informationen zu, die beim Daten-Export zur Kontakt-Nachverfolgung (eine alltägliche Routine-Handlung in den Gesundheitsämtern) dafür sorgen, dass Excel entsprechende Tabellen auf entfernte Server überträgt oder anderen, gezielt übertragenen Schadcode ausführt und so die Rechner der Gesundheitsverwaltung kompromittieren kann.
Macher ignorierten Gefahr
Brisant daran ist: Die im beschriebenen Fall ausgenutzte CSV-Injection war noch vor wenigen Wochen von Luca-Chef Patrick Henning als „nicht möglich“ abgetan worden. Dieser hatte in einem Interview mit ZEIT ONLINE erklärt sichergestellt zu haben, dass hier kein Schaden entstehen könne. Nun stellt sich heraus: Die Gesundheitsämtern waren durchaus verwundbar.
Inzwischen haben die Luca-Verantwortlichen auf die neue Lücke mit einem Blogbeitrag reagiert, in dem versichert wird, dass inzwischen weitere Maßnahmen getroffen wurden, um in Zukunft den Missbrauch des eigenen Systems zu umgehen. Derzeit gehen die Luca-Macher davon aus, dass es unwahrscheinlich sei, „dass Schaden durch einen derartigen Angriff entstanden ist“, schließen dies allerdings auch nicht aus.
Die Schwachstelle des heutigen #LucaApp Hacks wurde vor 3 Wochen(!) auf ZEIT Online(!) ausführlich besprochen:https://t.co/l23uys9ccW
Die großen Worte von Luca-CEO Patrick Hennig sollte @mame82 sich einrahmen: pic.twitter.com/5IzryFgn4c— linuzifer (@Linuzifer) May 26, 2021
Der Chaos Computer Club hat derweil mit Unverständnis auf die zögerliche Reaktion der Luca-Macher reagiert. Diese wussten seit Wochen von der potenziellen Lücke, hätte diese bislang jedoch ignoriert.
Ich hoffe der Mist wird endlich abgeschafft und die „Macher“ von Luca werden bestraft
+1
Wenn du in Deutschland mit offizieller Genehmigung Mist baust wird dir der hintern vergoldet. Siehe Scholz, Scheuer und Luca.
Oder man wird nach Brüssel abgeschoben. Siehe Flintenuschi…
Europaweit mit offizieller Genehmigung Mist bauen dürfen klingt für mich eher nach einer Beförderung
Scholz?
Yes, genauso schaut es aus!
Was soll das?
Lass dich nicht aufhalten, die Macher anzuzeigen.
Aber ob es da wirklich was zu verklagen gibt, ist fraglich. Zumal sich jemand als Geschädigter offenbaren müsste.
Der Datenklau könnte vielleicht nachvollzogen werden. Ransomware Angriffe sind ja öffentlich zu machen. Also hätten wir doch was davon mitbekommen.
Ich finde es super, dass es Menschen gibt, die gezielt nach Lücken suchen und finden…. und an die betreffenden Stellen weitermelden. Die Welt wird nicht dadurch sicherer, weil keiner mehr Fehlerfreie Software veröffentlicht, sondern dadurch, dass viele über die Arbeit schauen und helfen Fehler zu erkennen und abzustellen. Der künstliche Hype um die Luca App war nötig, damit landesweit eine App priorisiert war. So musste man sich nur um eine App kümmern, diese abzudichten. Stell dir vor, was erst los wäre, wenn es 5 oder noch mehr Apps in verschiedenen Regionen und regionalen Ausdehnungen geben würde. Da kann schneller ein Fehler unentdeckt bleiben und fleißig Daten abfischen.
Seit ein paar Monaten ist mein Fanta-Image kaputt :-/
Echt schade. Die standen für was besseres. Sehr naiv von mir
+1
+1
Da sollte man meines Erachtens trennen:
Smudo ist Künstler, und hat für ein Produkt geworben dass es Künstlern oder allgemein Kulturschaffende und anderen ggf. eher/leichter ermöglichen kann, ihre Tätigkeiten wieder auszuüben.
Smudo wird sich zur damaligen Zeit, in der er die Werbetrommel für Luca gerührt hat, wohl kaum im Detail mit allen existierenden und potentiell noch auftretenden Sicherheitslücken der App beschäftigt haben können. Er ist Künstler, kein IT-Sicherheitsexperte. Er hat darauf vertraut, dass die App-Macher ihren Job erledigen, so wie er seinen Job erledigt und für etwas eintritt, an das er glaubt.
Ich bin mir sicher, Smudo hat inzwischen auch ein etwas anderes Bild von der Luca App. Vertrauen wurde verspielt.
Ich finde Smudo sollte sich öffentlich distanzieren. Mit so viel Elan für solche Betrüger werben und Geld machen.
Zumindest mal öffentlich entschuldigen.
Wird schwierig sein, er und/oder die F4 sind wohl mit der Fantastic Capital Beteiligungsgesellschaft zu gut 20% daran beteiligt.
+1
Trotzdem ist die Mucke von den Fantas grandios… Da ändert auch keine Luca-App was dran.
Exakt, aber sie hätten mal im Business bleiben sollen
Gott sei Dank, sind die Geschmäcker da verschieden.
+1
Naja, ganz so uneigennützig war sein Engagement ja wohl auch nicht…….man könnte ihm auch zurufen: Schuster bleib bei Deinen Leisten!
Hahaha,
Fanta Image?
Pro Zucker?
Herden von Mütternden die den Filiusen die klebrigen Reste hinterherwischen?
Glückliche Zahnärztende und Diätberatende?
Ausgetauschte Tastaturen weil innerlich überzuckert?
…
Müsste man nicht nur das +Zeichen am Anfang eines Formulareintrags ausblenden?
Ich bin mal so gut: ich denke nicht, dass die Macher die Gefahr ignoriert haben. Sie hatten nur einfach keinen besseren Code gefunden den sie klauen konnten…
Hoffe Smudo macht jetzt ein entschuldigungslied. Das ist das mindeste!
Jaja Privatwirtschaft ist immer besser…… Das hörten wir bereits vor den Veräußerungen von Wasserwerken, Müllabfuhren u. ä. an die Privatwirtschaft….. seit dem bezahlen wir mehr als vorher und der Allgemeinheit gehört nichts mehr……Bravo !
Nur der Staat hat diesen Mist gekauft.
Mit den Steuergeldern der Bürger….aber ganz ehrlich…ich würde auch gerne das Geld der Anderen zum Fenster rauswerfen, vor allem wenn es für mich keinerlei Konsequenzen hätte! Da wird schnell die Unschuldsmiene aufgesetzt, mit dem Finger auf den Gegenüber gezeigt und schon ist man raus der Verantwortung! Es ist und bleibt zum k…..
Ich wusste gar nicht dass man Fax Geräte angreifen kann. ;-)
:-) made my day!!
Nur zur Info ;-)
https://www.datenschutz.bremen.de/datenschutztipps/orientierungshilfen_und_handlungshilfen/telefax_ist_nicht_datenschutz_konform-16111
Sehr gut…dann arbeiten 99% aller deutschen Behörden nicht datenschutzkonform. :-)
Best of the week rofl
Das ich nicht lache
Luca einstampfen!
Die Corona-App war schon teuer genug für den Steuerzahler und sollte jetzt alles abdecken!
Länderchefs, due ohne Ausschreibung für Luca Millionen abgedrückt haben sollten auch Konsequenzen ziehen!
Wird leider wieder nix passieren, wie immer.
fürchterlich :/
Oder spüren! Für mich ist die Vergabe ohne Ausschreibung grob fahrlässig, dann kann ein Ministerpräsident*in auch mal mit privatem Vermögen oder Ersatzfreiheitsstrafe für geradestehen
CWA war „teuer genug“?
Im Vergleich zu?
Weil?
Ich hab erst hierdurch erfahre, dass man EXCEL sogar mit CSV Dateien angreifen kann. Weiß jemand ob Numbers Sucherin ähnliches Problem hat? „=CMD()“
Niemals Luca
Die CoronaWarnApp kann das auch. Wurde schon teuer durch den Staat entwickelt, nach DSGVO. Warum soll ich mir dann noch eine App laden von der ich weiß das teile des Codes von anderen Entwicklern ohne deren Wissen kopiert wurde. Außerdem stört mich diese nicht transparente Kommunikation über diese Fehler. In meinem Kreis wurde das auch noch gekauft!! Und zwar kurz nachdem bekannt wurde das der Code teilweise unrechtmäßig kopiert wurde. Mir kommt die Luca-App nicht ins Telefon.
Nein, die CWA kann dies nicht. Weshalb der Check-In der CWA in den meisten Bundesländern (glaube 14 von 16) aus guten Gründen nicht ausreicht.
Wenn die (BSI-) Empfehlungen, u.a. Makros zu deaktivieren UND Sicherheitswarnungen ignoriert werden, dann besteht die Gefahr, dass Schadsoftware aufgespielt wird. What’s new?
Die Sicherheitswarnung, die Excel hier ausspielt endet mit dem Satz „Aktivieren Sie diese Inhalte nur, wenn Sie der Quelle dieser Datei vertrauen“.
Diese Quelle ist in diesem Fall das Luca Portal, von der man sich die Datei runterlädt. Was sollen die Gesundheitsamtmitarbeiter denn dann machen? Einfach nach Hause gehen?
Luca hin oder her – ich will die nicht verteidigen.
Das ist kein Luca Problem, sondern ein Excel Problem.
Und keiner (!) sollte Makros aktiviert haben und keiner sollte bei fremden in Dateien die fette Warnung ignorieren und trotzdem Makros ausführen.
Das ist fahrlässig.
Normalerweise hat man dazu eine Policy, die sowas im gesamten Unternehmen ausschaltet.
Es könnte die Luca App aber recht simpel verhindern indem es die „gefährlichen“ Codes nicht in der DB zulässt und somit nicht ausspielt.
Nein, ist mal wieder nen Politiker-Problem, weil sie lieber auf ihre „Berater“ und die Hersteller der Produkte hören, die sie einkaufen anstatt auf andere Fachleute zuzugehen und das vorher abchecken lassen.
a) ist es nicht deren Kohle, die verpulvert wird
b) sitzen sie ggf. sogar noch im Vorstand der entspr. Firma oder haben anderweitige Interessen („Provision“ etc.)
c) haben sie ja nichts zu befürchten. Politiker werden nie bestraft, gefeuert oder sonstwas.
Leider nur zu wahr…
Politiker fallen immer nach „Oben“.
Einfach Handy löschen, wenn eine Untersuchung ansteht und schon sitzt man in Brüssel
Ganz bestimmt nicht, da Unternehmen die Makrofunktionen in Excel nämlich sehr gerne dazu nutzen, wozu sie ursprünglich gedacht sind.
Excel ohne VBA? Da kann man ja gleich einen normalen Taschenrechner benutzen (Übertreiben veranschaulicht). Kenne aus eigener Berufserfahrung kein Unternehmen, in dem der Einsatz von Makros grundsätzlich verboten bzw. gar deaktiviert ist. Würde viel zu viel Zeit kosten, alles manuell machen zu müssen.
Das Problem ist aber, dass die Daten über einen scheinbar vertrauensvolle Quelle kommen. Daher könnten Mitarbeiter*innen in den GAs dazu geneigt sein, die Warnungen einfach abzunicken.
Wenn Luca keine Makros braucht, dann sollten sie diese auch ausfiltern. Dazu hatten die Luca Mache ja schon vor 3 Wochen erklärt, dass dies durch das verwendete React Framework geschieht – wieder nur heisse Luft.
Luca App – geschrieben von Pfuschern, gekauft von Ahnungslosen.
Mich würde interessieren, wann der Luca-Check-in endlich in die Corona Warn-App eingebunden wird. In Bielefeld ist Luca mancherorts Pflicht und NRW hat sich von Luca quasi schon verabschiedet…
Da würde ich einfach konsequent nicht mitmachen.
wenn es Geschäfte betrifft, würd ich da eben einfach nicht reingehen / einkaufen.
Genauso mache ich das auch….
Das würde ich mir in Bayern auch wünschen. Es wurde ja angekündigt, dass die Luca Codes mit der CWA gehen sollen.
Leider kommt man aktuell nirgends rein (oder muss Papier und Stift bemühen), wenn man Luca nicht möchte.
Ist hier eigentlich auch jemand vom Gesundheitsamt unterwegs? Ich habe den Eindruck, hier lamentieren nur Leute, die von der Schwachstelle überhaupt nicht betroffen sind.
Warum soll ich die Luca App nicht nutzen? Die Schwachstelle ist doch nicht in der App.
Und das die Angreifer alle deine Daten bekommen ist okay?
So viel zu „nicht betroffen“ ^_^
Leider haben viele keine Ahnung und lesen vieles nicht.
Ich war gestern mal in Hamburg und an jedem Shop haben die Luca Zettel gehangen. Wir waren in keinem Laden. Schade, aber so ist das eben wenn man keine App auf dem Telefon hat.
Mich hat auch gewundert, dass überall in der Einkaufsmeile im ShoppingCenter keiner Augen im Kopf hat.
Es sind überall Pfeile auf dem Boden an den Wänden auf Schildern und die Leute laufen auf der falschen Seite. In Bereichen so gross auf dem Fussboden die Maskenzone angekündigt wurden haben so viele Menschen keine Masken getragen.
Ich verstehe nicht wie die Hamburger da auf ihre niedrigen Werte gekommen sind. Wir im Landkreis liegen doppelt so hoch und haben gerade mal einen Ausbruch in einem Altenheim (da wollten sich einige nicht impfen lassen).
@tomtim: die Zahlen in Hamburg sind wirklich sehr gut. Auch wenn viele über den Ersten Bürgermeister meckern, er hat sich an die Bundes Absprachen gehalten und war/ist konsequent.
Zu Luca und den Läden. Natürlich kannst du auch einen Zettel ausfüllen, wenn du die App nicht nutzen willst.
Mir ist es einfach unverständlich wie es bei der Luca App ausreicht dass ein Smudo durch ein paar Talkshows tingelt und fast jeder MP eines Bundeslandes sofort ungeprüft diesen halbgaren Schrott kauft und an seine Gesundheitsämter dübelt. Dagegen wurde die Corona WarnApp fast zu Tode kastriert für den Datenschutz. Interessiert bei Luca anscheinend keine Sau. :-((
YMMD! Eindeutige Zustimmung!
Zustimmung auch von mir! Ich wünschte manchmal, ich wäre Politiker und würde fürs Rumsitzen und/oder Mistbauen fürstlich bezahlt. Dann wird mir bewusst, dass ich zwar nicht reich bin, aber zufrieden in den Spiegel schauen kann.
Jetzt habe ich mich zu einem echt hässlichen Kommentar hinreißen lassen. Aber ein Körnchen, äh, Kornhäufchen, Wahrheit steckt leider drin. Zu viele Politiker vertreten nicht das Volk, sondern nur sich selbst. Ich glaube daran, dass das nicht so bleiben muss!
Ich weiß warum ich die App schon vor einigen Wochen gelöscht habe!
Das bei solchen eklatanten Sicherheitsmängel die Politik immer noch daran festhält, kann nur mit dem Interesse der Sicherheitsbehörden zu tun haben. Kein Mensch mit einem gesunden Menschenverstand kann so eine Software zu Nutzung freigeben, und dann auch noch für die Gesundheitsämter. Das ist wirklich ein Skandal.
Jep! Da bin ich bei dir.
Wir haben ja alle nichts zu verbergen ;)
Pandemie hin oder her. Sie ist die perfekte Grundlage für umfassendes Datamining und der Startschuss für Abschaffung des Bargeldes.
Wer noch vor 10 Jahren Beträge unter 20€ mit der Bankkarte bezahlt hat, wurde von seiner Bank in der Bonität runter gestuft. Mal ganz zu schweigen, das bargeldlose Zahlungen bis 50€ ohne Pin getätigt werden konnten.
Die Staaten wollen einen gläsernen Bürger und da spielt ihnen Corona voll in die Hände.
Die beste App die es gibt. Ihr in eueren Zimmern die kein Tageslicht sehen sondern nur Unmut verbreiteten wünsche ich das ihr alle gesund bleibt! Es gibt Menschen die auf das öffentliche Leben angewiesen sind und denen hilft diese App. Also klagt weiter an und verbreitet weiter diese Meldungen.