9 Likes
8 Comments
Watch: https://www.youtube.com/watch?v=r1vBAjuT6L8
#sqlInjection #hack #hacker #knowledge #news #security #exploit
On Tuesday, a Reddit user named “nhciao” posted a series of artistic QR codes created using the Stable Diffusion AI image-synthesis model that can still be read as functional QR codes by smartphone camera apps. The functional pieces reflect artistic styles in anime and Asian art.
See https://arstechnica.com/information-technology/2023/06/redditor-creates-working-anime-qr-codes-using-stable-diffusion/
#Blog, #anime, #QRcodes, #technology
Ausgeliefert dem "digital" vorbestimmten Ablauf
... war auch der Lufthansa Chef Carsten Spohr. Wir hatten vor 2 Monaten über die "Unpässlichkeiten" beim Buchen einer Reise und beim Boarding aus der Sicht eines normalen Fluggastes berichtet. Diese "Unpässlichkeiten" kann der Chef des Unternehmens sicher umgehen, aber trotzdem wurde er zum Opfer von Datendiebstahl nachdem Unbekannte mit seinem Boarding Pass auf seine persönlichen Daten zugriffen.
Über den QR-Code auf einem seiner Boarding-Pässe wurde auf sensible Daten, wie Spohrs E-Mail-Adresse und seine Handynummer zugegriffen. Das Vorgehen ist der Lufthansa bekannt und sie will zukünftig u.a. diese Sicherheitslücke mit neuen Methoden und Industriestandards unter dem Titel "Digitaler Hangar" schließen. Solange appelliert sie an ihre Kunden selbst auf ihre Daten aufzupassen: "Wir empfehlen unseren Fluggästen, [...] [die Flugdokumente] wie Bargeld zu behandeln", zitiert Heise.de einen Lufthansa Sprecher.
Mehr dazu bei https://www.heise.de/news/IT-Sicherheitsluecke-bei-Lufthansa-Chef-der-Fluglinie-selbst-betroffen-7275048.html
Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3pU
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8157-20220926-ein-boarding-pass-gibt-zugriff-auf-persoenliche-daten.htm
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8157-20220926-ein-boarding-pass-gibt-zugriff-auf-persoenliche-daten.htm
Tags: #LufthansaChef #Zwangsdigitalisierung #Flugbuchung #CheckIn #BoardingPass #Sicherheitslücke #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Ergonomie #Datenpannen #QRcodes #Fehler #Abhängigkeit #Verhaltensänderung #Smartphone #Handy
Zwangsdigitalisierung oder nur verwöhntes Gejammer?
Unter dem Thema "Zwangsdigitalisierung" haben wir Berichte zusammengefasst, wo wir gezwungen werden uns mit Computern zu beschäftigen - egal ob wir das wollen oder nicht. Das ist der Fall bei
Heute berichtet ein Aktiver aus unserer Gruppe über "kleine Stolpersteine" bei dem Versuch eine Reise im digitalen Zeitalter durchzuführen.
Bereits zweimal haben wir das Thema Zwangsdigitalisierung behandelt. So ging es einmal um die Schwierigkeiten bei der Beantragung eines Ausweises oder Passes inklusive der biometrischen Daten die dazu zwangsweise erhoben werden. In einem weiteren Beitrag haben wir uns damit beschäftigt, welche Schwierigkeiten die elektronische Patientenakte und auch die elektronische Gesundheitskarte dem Nutzer bereiten. Heute wollen wir berichten, was einem alles so passieren kann, wenn man eine Reise tut.
Wir beginnen mit dem Einchecken zum Flug
Wie inzwischen allgemein bekannt sein dürfte, gibt es an den Flughäfen in Deutschland lange Warteschlangen beim Check-in und auch bei der Sicherheitskontrolle. Für Letztere bleibt einem nur die Möglichkeit dies analog vor Ort auf dem am Flughafen zu erledigen. Aber wir haben die Hoffnung gehabt, dass man durch einen digitalen Check-in, den man bis zu 72 Stunden vor Abflug durchführen kann, Zeit sparen könnte.
Also frisch gewagt wird das Reiseportal der Fluggesellschaft, in diesem Falle Eurowings, aufgerufen. Dort ist ein Buchungscode von der Reisebuchung einzugeben. Da wir eine Familienreise geplant haben, haben wir insgesamt 9 Reisebuchungen vorzuliegen. Fünf davon besitzen neben einer Identifikationsnummer eine Buchungsnummer, die anderen vier nicht.
Es folgt also der Anruf beim Reiseveranstalter um eine Buchungsnummer zu bekommen. Nach der obligatorischen Warteschleife erklärt uns ein Mitarbeiter, dass für die Abwicklung der Reise das Reisebüro oder das jenige Reiseportal zuständig ist, bei der man die Reise gebucht hat. Aha, interessante Arbeitsteilung.
Nach etwa 20 Minuten Warteschleife bei diesem verspricht ein netter Mitarbeiter uns eine Buchungsnummer per E-Mail zuzuschicken. Etwa 4 Stunden später ist noch keine E-Mail angekommen - nein das stimmt so nicht - denn es ist eine E-Mail angekommen, die danach fragt, wie uns die Betreuung durch den Mitarbeiter im ersten Gespräch gefallen hat. Wir möchten ihn doch bitte beurteilen.
Da der Flug für den nächsten Tag gebucht ist, rufen wir erneut beim Reiseveranstalter an. Nach einer kürzeren Warteschleife bekommen wir von einem anderen Mitarbeiter mitgeteilt, dass wir genau in diesem Moment eine E-Mail mit einer Buchungsnummer erhalten haben. Also zurück auf die Webseite der Fluggesellschaft und die Buchungsnummer und den Nachnamen des Reisenden eingegeben. Die Webseite teilt uns mit, dass die Buchungsnummer ungültig ist.
Es folgt ein erneuter (dritter) Anruf bei dem Reiseportal mit einer Warteschleife und einem netten Mitarbeiter, der uns darauf hinweist, dass die Buchungsnummer nicht im Feld für Einzelreisen einzutragen ist, sondern dass am Ende der Webseite erneut eine Abfrage nach einer Buchungsnummer und dem Nachnamen des Reisenden für Gruppenreisen existiert. Glücklicherweise halten wir diesen Mitarbeiter am Telefon fest und versuchen die Eingabe sofort und sie schlägt fehl. Der nette Mitarbeiter versucht die Eingabe selbst auf der Webseite der Fluggesellschaft und erkennt, dass die Buchungsnummer in der E-Mail sich unterscheidet von der Buchungsnummer in der Betreffzeile.
Wiederum glücklicherweise war eine der beiden Buchungsnummern die richtige. Wer jetzt erwartet, dass damit alle Probleme erledigt sind, glaubt wohl auch noch immer an den Fortschritt der Digitalisierung. Richtig ist, dass wir nun auf der Webseite der Fluggesellschaft eingeloggt sind und bestätigt bekommen, dass unser Flug am nächsten Tag pünktlich stattfinden wird. Wir werden aufgefordert uns Sitzplätze zu reservieren. Im Anschluss an diesen Vorgang werden uns die reservierten Sitzplätze angezeigt.
Allerdings steht hinter dem reservierten Sitzplatz der Hinweis, dass man sich am Reisetag trotzdem am Check-In Schalter anstellen müsste. Das hatten wir nicht erwartet, ging es doch darum, genau diese Warteschlange zu vermeiden und die Koffer am automatischen Check.In (Fortschritt der Digitalisierung) abgeben zu können.
Nun ging es darum die Bordkarten zu sehen, zu speichern und gegebenenfalls auszudrucken (klimaschädlicher Internetausdrucker!). Die Anzeige der Bordkarten war kein Problem. Es gab dann die Möglichkeit, die Bordkarten per E-Mail an die eigene Adresse zu schicken (was unverschlüsselt eigentlich wieder ein Unding ist) oder sie per PDF zu speichern. Wir haben trotz der Sicherheitsbedenken beides probiert.
Eine PDF-Datei zu erzeugen sollte eigentlich kein Problem sein. Nach dem Klick auf den entsprechenden Button gab es jedoch lediglich eine Fehlermeldung (siehe Bild). Seien wir doch nicht so pingelig. Schließlich kann vielleicht nicht jeder Browser eine PDF-Datei erzeugen und Anzeigen …
Also probieren wir den gleichen Vorgang mit einem Safari Browser, einem Chrome-Browser und einem Firefox-Browser. In allen drei Browsern gelingt es uns mit der richtigen Buchungsnummer unsere Flugbuchung zu sehen, das Erzeugen einer PDF-Datei schlägt jedoch mit einer gleichen oder sehr ähnlichen Fehlermeldung fehl.
Also frisch gewagt begeben wir uns zum unsicheren und unverschlüsselten Verschicken unseren Bordkarten per E-Mail. Der entsprechende Button reagiert auf unseren Klick, es wird jedoch keine E-Mail verschickt - auf jeden Fall erhalten wir keine. Dem Ingenieur ist nichts zu schwör, denken wir uns und machen von den angezeigten Bordkarten jeweils einen Screenshot und speichern diese auf dem Handy - und drucken sie zusätzlich aus (klimaschädlicher Internetausdrucker!) - man weiß ja nie.
Auf zum letzten Lacher
Auf dem Hauptstadt Flugplatz angekommen, sehen wir diverse gefühlt unendlich lange Schlangen vor den Check-In Schaltern. Aber wir haben ja Bordkarten, zumindestens Screenshots von ihnen. Und tatsächlich gelingt unserer ganzen Gruppe - leider bis auf einen - der automatische Check-In, der die Kofferaufkleber ausgibt, die wir an den Griffen ankleben und die Koffer auf das menschenleere Band wuchten (hier hat die Digitalisierung wieder Arbeitsplätze wegrationalisiert und uns die Arbeit aufgetragen). Obwohl alle unsere Screenshots gleichartig angefertigt waren, hat sich wohl bei einem ein klitzekleiner Fehler im QR-Code eingeschlichen, so dass wir einen Mitarbeiter des Bodenpersonals finden und um Hilfe bitten müssen. Geschafft!
Nun habt euch mal nicht so! Ihr hättet euch ja auch alle an eine der unendlich langen Schlangen anstellen können. Von Zwangsdigitalisierung kann doch hier nicht die Rede sein - oder?
Diesen Versuch brauchten wir glücklicherweise nicht durchführen. Es wäre aber interessant gewesen, wenn man in dieser langen Schlange am Ziel angekommen festgestellt hätte, dass die Reisebuchung keine Buchungsnummer enthält. Ob der Mitarbeiter am Check-In Schalter in der Lage gewesen wäre eine Buchungsnummer zu erhalten und ob die Menschen in der Schlange hinter einem diesen Vorgang mit Interesse und Geduld mitverfolgt hätten ... das werden wir nicht erfahren.
Mal schnell einen Mietwagen buchen …
Unser zweites Reiseerlebnis wollen wir erheblich kürzer beschreiben. Um einen Mietwagen zu buchen, benötigt man eine Kreditkarte oder muss bei Abholung des Wagens eine Kaution hinterlegen. Doch Kreditkarte ist nicht gleich Kreditkarte, wie wir feststellen mussten. Bei manchen Mietwagenangeboten wird bereits auf der Webseite darauf hingewiesen, dass die Kreditkarte eine credit card sein muss, dass eine debit card nicht ausreicht.
Bei der Kontrolle der uns zur Verfügung stehenden Kreditkarten konnten wir sehen, dass auf einer fast durchsichtig das Wort Debit vermerkt war. Glücklicherweise hatten wir eine zweite Kreditkarte auf der zwar nicht fett aber immerhin deutlich das Wort Credit stand.
Nach der Auswahl des Fahrzeugs und der Eingabe der Fahrerdaten ging es um die Eingabe der Kreditkartennummer. Allein aufgrund dieser Kreditkartennummer erschien die folgende Meldung:
Diese Kreditkarte reicht nicht für die Anmietung aus. Bei der Abholung des Fahrzeugs muss eine andere Kreditkarte vorgelegt werden.
Das Programm war der Meinung, dass auch diese Kreditkarte nur eine debit card sei, und dass man bei der Abholung des Fahrzeugs eine "richtige" Kreditkarte vorzulegen habe. Daraufhin haben wir geschaut, welche Kaution bei einer debit card zu zahlen wäre und bemerkten sehr schnell, dass das gleiche Fahrzeug allein durch diesen Wechsel um ca 200 € teurer werden würde. Die zusätzlich zu hinterlegenden Kautionen bewegten sich im Rahmen von 600 bis 1000€, ein Betrag den man auch nicht gern auf Reisen mit sich schleppt.
Bevor jemand protestiert, geben wir an dieser Stelle gleich zu, dass das Mieten eines Autos erstens umweltschädlich und zweitens dazu auch kein Zwang besteht - Urlaub ist schließlich zum Erholen und nicht zum Autofahren da.
Trotzdem fühlen wir uns von den Mächten der Digitalisierung an der Nase herumgeführt, wenn ein Programm entscheidet ob eine Kreditkarte debit oder credit ist und die schriftliche Versicherung auf der Karte nichts mehr zählt.
Mehr zum Thema Zwangsdigitalisierung unter https://www.aktion-freiheitstattangst.org/de/articles/zwangsdigitalisierung.htm
Kategorie[34]: Zwangsdigitalisierung Short-Link dieser Seite: a-fsa.de/d/3oS
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8097-20220731-ausgeliefert-dem-digital-vorbestimmten-ablauf.htm
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8097-20220731-ausgeliefert-dem-digital-vorbestimmten-ablauf.htm
Tags: #Zwangsdigitalisierung #Flugbuchung #CheckIn #Carsharing #Autovermietung #PDF #Programmierfehler #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Ergonomie #Datenpannen #QRcodes #Fehler #Abhängigkeit #Verhaltensänderung #Smartphone #Handy
Even though this is the ACLU, it requires JavaScript. That's annoying. The article is pretty short, so here it is.
If you’ve been to a restaurant lately and scanned a QR code rather than order from a physical menu, you likely paid for that meal with not just your money, but your privacy and security too. Businesses are taking advantage of the rise of touchless services during the pandemic to harvest massive amounts of sensitive information about who we are, where we go, and what we do, including our eating and drinking habits — when all we want to do is just eat a meal.
In the past decade, technology companies and the advertising industry have created a vast and extremely lucrative online spying apparatus. They try to collect information about every click we make online and package it into profiles to be shared, sold, and used in ways we couldn’t even imagine, as seen in the Cambridge Analytica scandal. These surveillance capitalists have long wanted to link online profiling to our physical movements to pry even further into our private lives. Manipulating us into scanning QR codes instead of ordering from a physical menu is a way for these companies to achieve their dream of online-offline tracking by inserting all the machinery of the online advertising ecosystem between you and your food.
You may not have thought much about what actually happens when you open your phone and click on a QR code at a restaurant. Sometimes it just opens the restaurant’s web page. But many of the QR codes you see in restaurants are actually generated by a different company that collects, uses, and then often shares your personal information with other companies. In fact, companies that provide QR codes to restaurants like to brag about all the personal information you are sharing along with that food order: your location, your demographics such as gender and age group, and other information about you and your behavior. Plus, as your phone opens the website or app, all the terrible privacy practices of our current online and mobile environments come into play: cookies, your phone’s advertising ID number, and device fingerprinting. There is an entire industry dedicated to using these and other technologies to identify you — precisely — so that a visit to a restaurant can be connected to all your other tracked activities to create a detailed profile of who you are, where you go, what you do, and your interests and habits.
In China, this technology has been used to create a network of mandatory checkpoints used to track citizens as they moved throughout society. While that hopefully could never happen in the United States, if the codes become pervasive enough, an advertising-based equivalent could certainly arise. And your personal information collected by companies can be shared with or accessed by the government for surveillance. In recent years, we’ve seen how information collected by prayer apps has been used to target and surveil Muslim Americans, and how location information of devices has been used to surveil people protesting for racial justice. In Australia, where QR codes have been put to widespread use for COVID contact tracing, the police have already tapped into these treasure troves of personal information.
When restaurants make owning a smartphone and being able to scan a QR code the default for being served a meal, that also has significant implications for equity. Many people do not have a smartphone, including more than 40 percent of people over 65 and 25 percent of people who make less than $30,000 per year. People with disabilities and the unhoused are also less likely to own one. These are some of our most vulnerable communities.
QR codes can also pose security risks. A QR code transfers data directly into your phone that you can’t read, and it could trigger an action that you can’t scrutinize before it happens. That’s an inherently risky thing to do, like blindly clicking a link in an unknown e-mail. Depending on your operating system, QR code reader app, or the QR code itself, you may not get the chance to inspect the proposed action, or you might be distracted or hungry and take the action without considering it carefully. Some scammers have been known to put their own QR code sticker over a legitimate QR code, redirecting anyone who scans it to a subtly different payment target, or to a website that hosts malware. Some QR code software is not trustworthy, and an honest but naïve business may inadvertently steer people to a malware site. Even a legitimate URL can be repurposed by an attacker if the website gets compromised or its domain name expires.
Whether technology helps or harms us depends on its purpose, the people who build it, and how we control and use these technologies. Based on current privacy and security risks of QR codes, we recommend that people:
With the privacy threats, equity concerns, and security risks of QR codes, no business should require anyone to scan a QR code or make it difficult for people to continue to use a physical menu if they want one. COVID has already cost our communities so much. Now is the time to make sure that any technology we use is working for us, not putting more of our personal information and power into the hands of companies who profit at our expense.
See also
https://www.idtheftcenter.org/qr-code-security-threats-begin-to-grow-as-digital-barcode-popularity-rises/
https://www.innovationaus.com/qld-police-accessed-qr-code-check-in-app-data/
https://www.startupdaily.net/2021/06/police-accessing-qr-code-data-from-the-safewa-app-undermines-public-trust-in-privacy/
https://qr-codes.com/qr-code-management-and-analytics/
#privacy #security #surveillance #restaurants #qrcodes #qr-codes #smart-phones #trackers #identity-theft