Conversation

Notices

1. Embed this notice
   zerforschung (zerforschung@chaos.social)'s status on Saturday, 06-Apr-2024 00:33:09 JST zerforschung

   Seit 5 Tagen ist Cannabis legal, ab Juni darf es auch gemeinschaftlich in Cannabis-Social-Clubs angebaut werden 🍃
   Bereits jetzt werben die ersten findigen Software-Anbieter um diese Vereine – und der erste hat schon alle Daten verloren.
   Was genau passiert ist und warum eigentlich auch das Gesetz Schuld ist:
   https://zerforschung.org/posts/canguard/

   • Embed this notice
     zerforschung (zerforschung@chaos.social)'s status on Saturday, 06-Apr-2024 00:33:04 JST zerforschung

     in reply to

     😱 Tatsächlich bekommen wir als Antwort eine Liste aller Nutzer*innen, mit Name, E-Mail-Adresse, gehashtem Passwort, Geburtsdatum und Postleitzahl.

     Und das war nicht die einzige Lücke, die wir gefunden haben, mehr dazu im Blogpost.

   • Embed this notice
     zerforschung (zerforschung@chaos.social)'s status on Saturday, 06-Apr-2024 00:33:06 JST zerforschung

     in reply to

     Dabei fällt uns eine Anfrage an die CanGuard-Server auf, mit der die Mitglieder unseres Clubs abgerufen wurden:

     /user/all?club=[CLUB_ID]&invitation=accepted&role=user

     Bei einem Endpunkt mit "all" im Namen werden wir immer ein bisschen hellhörig 🔦👂.
     Was passiert wohl, wenn man die Filter club, invitation und role einfach wegließe? 🤔
     Der einfachste Weg, das herauszufinden, ist es auszuprobieren…

     GreenSkyOverMe (Monika) repeated this.
   • Embed this notice
     zerforschung (zerforschung@chaos.social)'s status on Saturday, 06-Apr-2024 00:33:08 JST zerforschung

     in reply to

     CanGuard ist ein Anbieter solch einer Rundum-Sorglos-Lösung für die Cannabis-Clubs. Neben Social-Club-Features werben sie auch mit Datensicherheit. Trotz diesen Versprechungen haben wir den Dunst der Stunde 💨 genutzt, uns als CSC registriert und nebenbei ein bisschen in die Entwicklungs-Tools unseres Browsers geguckt 👀