Notices by zerforschung (zerforschung@chaos.social)

Seit 5 Tagen ist Cannabis legal, ab Juni darf es auch gemeinschaftlich in Cannabis-Social-Clubs angebaut werden 🍃
Bereits jetzt werben die ersten findigen Software-Anbieter um diese Vereine – und der erste hat schon alle Daten verloren.
Was genau passiert ist und warum eigentlich auch das Gesetz Schuld ist:
https://zerforschung.org/posts/canguard/

CanGuard ist ein Anbieter solch einer Rundum-Sorglos-Lösung für die Cannabis-Clubs. Neben Social-Club-Features werben sie auch mit Datensicherheit. Trotz diesen Versprechungen haben wir den Dunst der Stunde 💨 genutzt, uns als CSC registriert und nebenbei ein bisschen in die Entwicklungs-Tools unseres Browsers geguckt 👀

Dabei fällt uns eine Anfrage an die CanGuard-Server auf, mit der die Mitglieder unseres Clubs abgerufen wurden:

/user/all?club=[CLUB_ID]&invitation=accepted&role=user

Bei einem Endpunkt mit "all" im Namen werden wir immer ein bisschen hellhörig 🔦👂.
Was passiert wohl, wenn man die Filter club, invitation und role einfach wegließe? 🤔
Der einfachste Weg, das herauszufinden, ist es auszuprobieren…

😱 Tatsächlich bekommen wir als Antwort eine Liste aller Nutzer*innen, mit Name, E-Mail-Adresse, gehashtem Passwort, Geburtsdatum und Postleitzahl.

Und das war nicht die einzige Lücke, die wir gefunden haben, mehr dazu im Blogpost.

Warning: Do not use Hive Social ⚠️?

We found multiple critical security vulnerabilities in the App, leaking private messages, posts, images and user data like phone numbers, emails and birthdates.

https://zerforschung.org/posts/hive-en/