Nur weil ich mich gerade mal wieder durch ein Datenleck wühle voller Ausweiskopien, Rentenbescheide, Bankdaten: Ladet euer Zeug nicht irgendwo hoch!

Nur weil ich mich gerade mal wieder durch ein Datenleck wühle voller Ausweiskopien, Rentenbescheide, Bankdaten: Ladet euer Zeug nicht irgendwo hoch!
Wenn irgendjemand eine Kopie eures Ausweises haben will: sagt einfach "nein".
Ich halte inzwischen jedem Hansel, der irgendwelche Daten von mir in irgendein Compuersystem eintragen will, einen langen Vortrag zu Leaks, Darknet, Cybercrime und frage, ob er da wirklich dazu beitragen will.
Die meisten geben irgendwann auf. Man muss nur genug reden.

Ich kann euch gar nicht sagen, wie sehr mich diese Anerkennung freut! Investigative Recherchen sind oft super aufwendig, man braucht Ausdauer und Frustrationstoleranz, man gräbt sich oft durch Datenmengen ohne zu wissen, wo genau der Schatz versteckt ist. Ich muss zugeben, in dieser Recherche gabs unterwegs Belohnungen, die mich motiviert gehalten haben. Die erstaunten Reaktionen, als ich mich plötzlich in einem internen Meeting der Bundesgeschäftsführung der SPD zu Wort meldete.

Erinnert ihr euch noch, wie ich mich im April/Mai in allerlei #WebEx-Meetings eingeschlichen habe? Behörden, Parteien, die Regierung - und es ging immer weiter. Weil die Sicherheitslücke einfach nicht geschlossen wurde. Meine Recherche ist jetzt für den Reporterpreis nominiert als „Beste Investigation“.
https://www.reporter-forum.de/reporterinnen-preis/reporterinnen-preis-2024/nominierungen-2024

Ich sollte jetzt aufhören, Leserkommentare zu lesen. Ich sollte jetzt aufhören, Leserkommentare zu lesen. Ich sollte jetzt...

@_tillwe_ Ja. Vonovia beteuert, das würde nicht dafür genützt. Aber wer weiß...

Geht ihr mit bei meiner Schlussfolgerung, dass es erstens problematisch sein kann, Daten wie Temperatur, Luftfeuchtigkeit und CO2-Gehalt an die #Vonovia sowie potentiell unsichere Apps zu übertragen (weil man damit allerlei über die Mieter efahren kann wie: wann sind sie wach/Zuhause/im Urlaub, wann haben sie Besuch und wie viel - was noch?) und zweitens dass man eventuell besonders vorsichtig sein sollte, wenn die Firma hinter den Rauchmeldern an eine chinesische Firma verkauft wird?

achso hier der Vollständigkeit halber noch die Vonovia selbst dazu: https://www.vonovia.de/weitere-angebote/multisensor-plus
Und ein Artikel: https://www.hna.de/kassel/anwalt-news-vonovia-kassel-wilhelmshoehe-nordhessen-rauchmelder-wohnen-immobilien-mieter-schutzbund-93306124.html

eine FireAngel Safety Technology Limited. https://www.techem.com/content/dam/techem/downloads/geraete/ngsa/Konformit%C3%A4tserkl%C3%A4rung_FireAngel%20CE_UKCA%20FSTEC24035_R1.00_DE.pdf.coredownload.pdf
Und diese Firma aus UK wird gerade von einer Firma aus China übernommen? Verstehe ich das richtig? https://www.morningstar.co.uk/uk/news/AN_1717065575788920000/fireangel-safety-takeover-by-intelligent-safety-back-on-track.aspx
Möchte nichts falsches behaupten, könnt ihr das mal lesen und sagen, was ihr denkt?

Darf ich kurz um eure Schwarmintelligenz bitten? Es geht um die Vonovia Rauchmelder. Hab ein bisschen recherchiert. Die haben wohl keine Kamera, messen aber Temperatur, Feuchtigkeit und CO-Gehalt (edit: CO statt CO2). Ich hab schon ein paar Ideen, was man damit machen kann. Die Daten selbst nutzen darf natürlich nur, wer diese auch der Vonovia freigibt und kann sie nur in deren App abrufen (also eine potentiell unsichere Station mehr). Wer stellt die Rauchmelder her? Wenn ich es richtig sehe:

Danke #Bahn für nichts. Der halbe Zug wollte diesen Anschluss bekommen - stehen jetzt alle in Karlsruhe rum. Wieso kann es nicht EIN MAL gut gehen? Und wieso kann der Anschluss nicht eine Minute warten?
#EvaTraindestroyer

Der Vollständigkeit halber…
#EvaTraindestroyer auf dem Rückweg von #SCS24

:BoostOK: Gibt es hier Menschen aus Behörden, die mit Aleph Alpha arbeiten (da wird ja gerade viel investiert...) und ein bisschen aus dem Nähkästchen plaudern würden, wie es so ist? Oder mir gar mal zeigen würden, was sie so damit machen/machen sollen? Gerne natürlich vertraulich und anonym oder wie es eben am besten ist für euch.
Oder kennt ihr welche? Bitte gerne weitersagen.
Sichere Kontaktmöglicheiten:
Threema: 47M5V464
Signal: wolfangel.42
#AlephAlpha #ChatGPT #copilot

Man sollte den Herstellern nicht die Hoheit über die Kommunikation überlassen (jedenfalls, wenn sie unverantwortlich gehandelt haben). Denn die sind schnell dabei, die Fakten zu verdrehen und ihre Verantwortung herunterzuspielen.

Das haben sie auch in diesem Fall versucht - teilweise erfolgreich, weil wir aus ethischen Gründen nicht alles Material angeschaut haben.

Wo fängt responsible disclosure an und wo hört sie auf? Ich finde das wirklich eine wichtige Diskussion.

https://frauen-technik.podigee.io/5-new-episode

Manche sagen: das sei schon nicht mehr responsible, wenn Medien einbezogen werden, bevor die Lücke geschlossen ist (was mich natürlich leicht empört, denn es impliziert, dass zb ich nicht vertrauenswürdig & verantwortungsbewusst bin). Hatte da neulich eine interessante Diskussion mit @z_edian angesichts der #Webex-Lücken.
Plus: als Journalistin, die immer öfter Sicherheitslücken selbst meldet, kann ich Liliths Punkt wirklich gut verstehen:

Im Podcast haben @sveckert und ich mit @Lilith über ein Thema gesprochen, das mich immer wieder sehr bewegt: Responsible Disclosure. Weil es mich als Journalistin immer wieder betrifft: Für eine gute, verantwortungsvolle Berichterstattung ist es nämlich oft wichtig, eine Lücke selbst nachvollziehen zu können. Das geht aber natürlich nicht, wenn sie schon geschlossen ist. (Details zum aktuellen Fall im Podcast)

kurzer 🧵

#cybersecurity