Konzert

Update vom 12. April 2021:

Kurz nach dem Bekanntwerden des von uns beschriebenen Fehlers hat sich bei uns die Pressestelle von Nexenio, dem Hersteller der Luca-App, gemeldet. Demnach hat der Entwickler die privaten Treffen nun auf 50 Personen beschränkt. Zudem werden die Informationen zu den Gästelisten von privaten Treffen nicht mit den Gesundheitsämtern geteilt, eine Sabotage der Behörde sei somit nicht möglich. Der Kommentar im Wortlaut:

Die Funktion „private Treffen“ hilft bei der Dokumentation von privaten Kontakten. Anders als Check-ins bei Luca-Standorten werden die Informationen zu privaten Treffen beim Teilen der Historie nicht mit Gesundheitsämtern geteilt – sie dienen also als Gedankenstütze für die Gastgeber und ihre Gäste. Deshalb besteht kein Sicherheitsproblem. Wir haben private Veranstaltungen aber mittlerweile serverseitig begrenzt, sodass sich nicht mehr als 50 Teilnehmer:innen einchecken können. 

Ursprüngliche Meldung vom 8. April 2021:

Die Luca-App wird in weiteren Bundesländern implementiert. So wurde gestern bekannt gegeben, dass auch Bayern die Software-Lösung eingekauft hat. Entsprechend groß ist das Interesse an der App. Gestern Abend ist jedoch ein Experiment mit der privaten Party per Luca etwas schiefgelaufen: Der Journalist Enno Lenze hat auf seinem Twitter-Kanal dazu aufgerufen, sich für seine Party einzuchecken und dazu den entsprechenden QR-Code veröffentlicht. Innerhalb von zwei Stunden haben sich dafür knapp fünfzig Gäste angemeldet, doch danach stieg die Zahl der virtuellen Gäste rapide : Nach weiteren zwei Stunden erhöhte sich die Zahl auf eine halbe Million Gäste , die App lud immer langsamer, bis sie sich schließlich aufhing. Dann haben die Luca-Entwicker das Event gelöscht , auch Smudo hat sich beim "Gastgeber" gemeldet . Demnach stellen solche Fehler kein Problem dar, weil ja eh keine Daten an das Gesundheitsamt übermittelt werden, falls einer der Besucher auf einer privaten Party positiv getestet wird.

Brauche ich die neue Luca-App? FAQ mit allen Antworten

Was zu solchen Fehlern führen konnte, war ein manipulierter QR-Code oder ein Script auf dem Rechner eines Besuchers. Denn bis vor kurzem konnte man aus dem erhaltenen QR-Code den Link auf das Event auf dem Luca-Server erhalten. Aus diesem Link ließen sich wichtige Informationen wie die genaue Adresse, Anzahl der Gäste etc. erfahren, selbst wenn man sich für die Party nicht angemeldet hat. Offenbar war es auch möglich, mit dem Zugriff auf diese Daten die Anzahl der Gäste zu manipulieren . Um die genaue Anleitung zu finden, wie man von einem Luca-Code auf die Informationen wie Adresse und Gästezahl herankommt, haben wir etwa eine halbe Stunde auf Twitter gebraucht. Der Finder @sand2drn hat auf unsere Anfrage hin gemeint, nach der gestrigen viralen Party haben Luca-Entwickler zumindest den Zugang zu den Event-Infos auf dem Server gesperrt, sodass sie nicht mehr so leicht zu finden sind.

Wir haben deswegen die Pressestelle von Nexenio, dem Entwickler der Luca-App kontaktiert. Sobald uns die Antwort vorliegt, werden wir den Artikel aktualisieren. Derweil geht die Suche nach den Fehlern in der Luca-App weiter.