0 Persons are tagged with #adobe

#adobe

aktionfsa@diasp.eu
Aktion Freiheit statt

09.05.2022 Der Bahn ein Ultimatum gestellt

Bahn App läuft weiter jenseits der DSGVO

Digitalcourage Vorstandsmitglied padeluun, Mike Kuketz und Peter Hense haben gemeinsam einen offenen Brief an die Deutsche Bahn geschrieben. Sie drohen mit rechtlichen Schritten, wenn die Bahn bis zum 1. Juli das unzulässige Datensendeverhalten nicht abschalten, welches eine technische Analyse der "DB Navigator" App offenbart hat.
Die Bahn App ignoriert die DSGVO

... oder hat sie nicht verstanden ...

Folgendes fiel den Analysten auf:

  • Datenübermittlungen erfolgen noch bevor der Nutzer eine Interaktion ausgeführt hat und damit noch vor der Abgabe einer ausdrücklichen, informierten, freiwilligen und aktiven Einwilligung , wie sie die DSGVO verlangt.
  • Weiterhin werden Verbindungen zu 5 Servern von anderen Bahn-Diensten aufgebaut, ohne dass der Nutzer das verlangt oder überhaupt bemerken kann.
  • Es werden 2 Verbindungen zu verschiedenen Adobe Diensten in den USA aufgebaut und entsprechende Cookies lokal auf den Geräten gespeichert.
  • Unter iOS wird zusätzlich das Marketing- bzw. Analyse-Unternehmen Optimizely (USA) kontaktiert.
  • Nun endlich erfolgt die Abfrage der Zustimmung des Nutzers mit einem (Cookie-)Consent-Banner.
  • Allerdings ist dessen Darstellung kaum mit den Einwilligungen nach dem Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) der DSGVO zu vereinbaren. Dargestellt werden müssen die für den "gewünschten Telemediendienst" und "unbedingt erforderlichen" und evtl. weitere zusätzliche Cookies.
  • Die Deutsche Bahn beeinflusst mit ihrer hervorgehobenen Auswahl "Alle Cookies zulassen" den Nutzer zu dieser Auswahl.

Was passiert bei Nutzung der App?

Bisher war alles Vorgeplänkel, um dem Nutzer ein DSGVO-konformes Verhalten der App dazustellen. Sucht man nun nach einer Bahnverbindung, so sind

  • Adobe, Qualtrics und Google (Maps) bei jedem Schritt dabei.
  • Auch wenn man nur der Auswahl "Nur erforderliche Cookies zulassen" zugestimmt hat, übermittelt die App Daten an Tracking- und Analysedienstleister, wie Optimizely, Google, Tealium, Adobe Inc. CrossEngage.

Die rechtliche Auseinandersetzung kann eigentlich nur Kosten für die Deutsche Bahn erzeugen, denn diese Verstöße sind bereits mehrfach höchstrichterlich beurteilt worden. Mike Kuketz führt dazu eine ganze Liste von Urteilen auf. Vor allem die völlig unnötige Verarbeitung der Daten in Drittländern (außerhalb der EU) ohne Information oder geeignete Garantien sind im Verfahren Schrems (II) gegen Facebook abschließend als illegal festgestellt.

Mehr dazu bei https://digitalcourage.de/blog/2022/db-tracking-brief
und https://www.kuketz-blog.de/db-navigator-datenschutz-faellt-heute-aus-app-check-teil1/
Short-Link dieser Seite: a-fsa.de/d/3np
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8012-20220509-der-bahn-ein-ultimatum-gestellt.htm
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8012-20220509-der-bahn-ein-ultimatum-gestellt.htm
Tags: #DeutscheBahn #App #Zwangsdigitalisierung #Freiwilligkeit #Zustimmung #Transparenz #Informationsfreiheit #Adobe #iOS #Apple #Android #Google #Marketing #USA #Smartphone #Handy #Verhaltensänderung #DSGVO #TTDSG

4 Likes
aktionfsa@diasp.eu
Aktion Freiheit statt

PDF Dokumente verraten oft mehr als gewollt

Anonymisieren - aber richtig

PDF-Dateien enthalten oft mehr Daten als zu sehen sind. Das ist vielen nicht klar und sie verwenden PDF Dateien aus anderen Zusammenhängen für ihre Zwecke weiter. Das ist im privaten Umfeld peinlich, im kommerziellen Betrieb sollte so etwas nicht passieren.

Heise.de hat aber genau solche Datenpannen bei PDF-Formularen folgender Stromanbieter gefunden:

  • Vattenfall,
  • eRegio,
  • Energie,
  • Stadtwerken Bamberg und
  • Stadtwerken Hockenheim

Heise.de schreibt, dass sich "verborgene persönliche Informationen per Auswählen-Kopieren-Einfügen extrahieren ließen, von Name und Adresse über Kunden-/Verbrauchsstellennummer (Energie3) bis hin zur Bankverbindung (Stadtwerke Hockenheim und Bamberg). Einen vermeintlich unschädlich gemachten QR-Code, der zum Kunden-Login führte (Vattenfall), konnten wir mit einem Bildbearbeitungsprogramm rekonstruieren."

Das Problem bei PDF Dateien ist nicht neu, wird aber zu oft ignoriert. Nur mit teuren PDF Writern, wie den professionellen PDF-Editoren Adobe Acrobat oder Foxit Phantom lassen sich alte Inhalte in PDF Dateien wirklich entfernen. Ansonsten wird nur eine neue Schicht Text über einen alten Text oder ein neues Bild über ein altes hinzugefügt.

Wir wollen natürlich keine Reklame für diese Programme machen, denn es geht auch einfacher, in dem man die verwendete PDF-Vorlage in ein Bild umwandelt (abfotografieren oder "speichern unter" als jpg) und mit dieser Vorlage ein neues PDF mit den Informationen erzeugt, die man wirklich sichtbar machen möchte.

Heise berichtet übrigens, dass alle angeschriebenen Energieunternehmen bis auf eins sofort reagiert haben und die Dokumente aus dem Web genommen haben. Ein Unternehmen hat sogar den Landesdatenschutzbeauftragten über die Panne informiert.

Mehr dazu bei https://www.heise.de/news/Oberflaechlich-anonymisierte-PDFs-von-Stromanbietern-geben-Kundendaten-preis-6660911.html
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/7986-20220414-pdf-dokumente-verraten-oft-mehr-als-gewollt.htm
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/7986-20220414-pdf-dokumente-verraten-oft-mehr-als-gewollt.htm
Tags: #PDF #Adobe #Layer #Schichten #Änderungshistorie #Transparenz #Informationsfreiheit #Anonymisierung #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Ergonomie #Datenpannen

heise online

One person like that
anonymiss@despora.de
anonymiss

#node.js used by #Adobe, #Logitech, #Nvidia and others can be used to #exploite #Windows 😱

Source: https://nitter.eu/Laughing_Mantis/status/1512081814994575377

So what can you do with these and how can they be abused:

You can modify the JSON and JS files mentioned in order to:
- arbitrary download binaries
- ignore download checksums
- execute commands as SYSTEM
- C2 on the behalf of applications
- perform file I/O as SYSTEM
etc.

...

A good generic tool should scan the local appdata and program file folders for instances of NODE.JS or JSON files (Maybe not Microsoft Store instances) and then have templates for trojanizing each vendor's custom #NodeJS and #JSON.

#Microsoft #warning #danger #0day #software #news #Trojan #problem #hack #hacker #driver #install #fail #security

5 Likes