172

MeinMagenta: Deutsche Telekom übermittelt ohne Einwilligung personenbeziehbare Daten an Facebook und Co. (www.kuketz-blog.de)

submitted 1 year ago by Synecdoche@feddit.de to c/dach@feddit.de

31 comments fedilink hide all child comments

top 29 comments

sorted by: hot top controversial new old

[-] aksdb@feddit.de 65 points 1 year ago

Viele Entwickler setzen viel zu oft leichtfertig irgendwelche Bibliotheken und Toolkits ein, ohne sich wirklich damit zu beschäftigen, was die eigentlich genau treiben. Da ist in den meisten Fällen kein böser Wille. Da sitzt natürlich keiner und denkt sich "hehe, die dummen Nutzer zock ich jetzt ab und mach einen Deal mit Google/Facebook".

Aber es ist halt fahrlässig und zum Teil Faulheit. Man braucht Crashreports? Super, gibt's schon. Eine Abhängigkeit rein, paar Einstellungen gesetzt, läuft.

Das betrifft auch nicht nur große Firmen. Das machen einzelne Entwickler, kleine Softwarebuden, usw. Die Erwartungshaltung, dass Software in kurzer Zeit fertig werden muss und möglichst im Wochen-Turnus neue Funktionen erhalten muss, befeuert das Problem und die oberflächliche Herangehensweise nur weiter. Gute Software, die richtig durchdacht und optimiert wird, gibt es immer seltener, bzw. geht immer häufiger in der Masse an rausgerotzter Software unter.

[-] yA3xAKQMbq@lemm.ee 23 points 1 year ago

Mag ja sein, aber was soll das für eine Rechtfertigung sein?

Von Seiten der Coder mag das vertretbar sein zu sagen: die stehen unter Druck und nehmen das was am schnellsten Ergebnisse liefert.

Von Seiten des Unternehmens ist das in keiner Weise vertretbar, erst recht nicht bei einem Unternehmen wie der Telekom. Die kennen die nötigen Rechtsnormen. Und scheißen drauf.

Und da kann man nicht mehr mit „Zeitdruck“, „Faulheit“, etc. argumentieren. In anderen Bereichen nehmen die sich auch sehr viel Zeit und Geld, oder was meinst du wieviel Winkeladvokaten da beschäftigt sind noch den letzten Cent an Steuern wieder zurückzuholen.

[-] aksdb@feddit.de 30 points 1 year ago

Mag ja sein, aber was soll das für eine Rechtfertigung sein?

Gar keine? Oder warum hab ich von "fahrlässig" gesprochen? Erklärung != Rechtfertigung.

[-] yA3xAKQMbq@lemm.ee 1 points 1 year ago

Aha.

Da ist in den meisten Fällen kein böser Wille. Da sitzt natürlich keiner und denkt sich "hehe, die dummen Nutzer zock ich jetzt ab und mach einen Deal mit Google/Facebook".

Natürlich ist da böser Wille. Vielleicht nicht im Maschinenraum, aber dann auf jeden Fall weiter oben.

Es kommt niemand daher und sagt: „ach die arme Buchhaltung, ist immer völlig überfordert, da ist kein böser Wille“ wenn die Schlagzeile „Telekom unterschlägt 5 Mrd € Steuern“ heißt, oder?

[-] aksdb@feddit.de 11 points 1 year ago

Du verstehst den Unterschied zwischen Vorsatz und Fahrlässigkeit anscheinend nicht. Oder du verstehst die Analyse der Daten in dem Blogpost völlig falsch und leitest daraus Vorsatz ab. Dann argumentierst du allerdings seltsam.

[-] bmaxv@noc.social 6 points 1 year ago

@aksdb @yA3xAKQMbq bei großen Prozessen gibt es keine Fahrlässigkeit.

Die Telekom hat genug Geld und hat Verantwortliche die sich für bestimmte Dinge entscheiden. In diesem Fall haben die sich dagegen entscheiden es ordentlich zu machen. Das ist Vorsatz.

Fahrlässigkeit ist wenn einer den Gurt für die Ladungssicherung anbringt aber nicht ausreichend festzieht.

Wenn das nicht Vorsatz wäre, kannst du das Konzept von Gesetzen wegwerfen, weil dann meint keiner nie was und alles ist aus Versehen.

[-] yA3xAKQMbq@lemm.ee 5 points 1 year ago

Danke, ich verstehe den Unterschied und den Blogpost sehr gut.

Ein Unternehmen der Größe Telekom macht derartige Dinge nicht „fahrlässig“.

Wenn ich ein Produkt in Verkehr bringe, bin ich als Unternehmen verpflichtet, das auf Einhaltung aller einschlägigen Normen zu kontrollieren.

Es ist jetzt kein arkanes Wissen, dass es die DSGVO u.ä. gibt, da wird nicht versehentlich gegen irgendeinen obskuren Paragrafen von 1897 verstoßen. Es geht um den Kernbereich der Rechtsnormen für digitale Produkte.

Ein Unternehmen, welches ganze Kanzleien beschäftigt, entscheidet sich ganz bewusst dafür diese Sachen nicht zu kontrollieren bevor sie in Verkehr gebracht werden.

Das ist dann mindestens Eventualvorsatz.

[-] aksdb@feddit.de 11 points 1 year ago

Kanzlein und "Winkeladvokaten" (wie du es vorhin nanntest) machen keine Code- und Sicherheitsanalysen. Wenn denen die Entwicklungsabteilung nicht sagt, dass sie irgendwas machen, was geprüft werden muss, prüft auch keiner. Und wenn in der Entwicklungsabteilung keiner weiß, dass ihr Crashreporter PII leaked, gibt's aus ihrer Sicht auch nichts zu prüfen.

[-] yA3xAKQMbq@lemm.ee -3 points 1 year ago

Lol, ja danke, weiss ich auch.

Dafür, dass du nichts rechtfertigen möchtest, gibst du dir aber redlich Mühe, auch noch für den dämlichsten Quatsch eine „Erklärung“ zu finden.

Wie ich gerade schon in einem anderen Kommentar sagte: es handelt sich hier auch nicht um irgendeinen seltsamen Bug, der nur unter einer bestimmten Bedingung auftritt, und den irgendein l33t h4x0r gefunden hat. Die App sendet direkt nach Start Daten, die sie nicht senden darf.

Da gibt es nichts dran zu „erklären“.

[-] aksdb@feddit.de 10 points 1 year ago

Na was glaubst du denn, wieso ich in meinem initialen Kommentar den Entwicklungsprozess kritisiere?!

[-] RQG@lemmy.world 2 points 1 year ago

Ich denke auch eher das läuft unter billigend in Kauf genommen und fahrlässig als unter Vorsatz.

[-] aksdb@feddit.de 7 points 1 year ago

Bei dem Dependency-Dschungel in modern entwickelten Anwendungen ist das halt auch Sackgang. Selbst mit einem gut gepflegten SBOM fällt sowas ggf. nicht auf.

Letztlich hätte man halt genau die Analyse machen lassen müssen, die Kuketz gemacht hat. Also die App einem Security Spezialisten geben, der das Ding auf Herz und Nieren prüft, und alle Datenflüsse ermittelt. Die hätte man dann wiederum einem Datenschützer vorlegen müssen, der das bewertet. Dann zurück zum Architekten, der die technische Notwendigkeit eruiert.

Und da sind wir halt wieder bei dem viel zu schnellen Entwicklungszyklus, der heutzutage erwartet wird. So eine Prüfung passt halt besser in ein Wasserfall-Modell, als zu agiler Softwareentwicklung. Und bei der Zeit (und Geld), die solche Prüfungen kosten, macht man das halt nicht jede Woche.

[-] yA3xAKQMbq@lemm.ee 0 points 1 year ago

Ich glaube eher, du hast den Blogpost nicht verstanden.

Um nachzuvollziehen, dass eine Anwendung ohne Einverständnis Dinge anpingt, brauche ich das nicht „auf Herz und Nieren“ zu überprüfen. Da schaltet man einen Proxy zwischen, startet die App, und dann sieht man das. Audit beendet.

Sowas zählt zur zentralen Sorgfaltspflicht bei der Entwicklung digitaler Produkte.

[-] aksdb@feddit.de 5 points 1 year ago* (last edited 1 year ago)

Genau so läuft es in der Realität aber ja gerade nicht ab! Darum kritisier ich das doch!

Das ist sogar gleich im ersten Satz meines Kommentars!

[-] yA3xAKQMbq@lemm.ee 3 points 1 year ago

Billigend in Kauf nehmen ist Eventualvorsatz:

https://de.wikipedia.org/wiki/Eventualvorsatz

[-] RQG@lemmy.world 2 points 1 year ago

Danke für die Korrektur. Dann ist wohl beides möglich.

[-] miss_brainfart@lemmy.ml 20 points 1 year ago

Hat aber auch tatsächlich auf den Beitrag von Kuketz reagiert, was man von anderen nicht sagen kann:

https://www.kuketz-blog.de/deutsche-telekom-bessert-bei-meinmagenta-app-nach/

[-] KasimirDD@feddit.de 12 points 1 year ago

War das nicht kürzlich auch die Telekom, die nach zig Jahren die E-Mail-Adresse verifizieren wollte, um dabei ein bisschen was kleingedrucktes unterzuschieben?

[-] M_Reimer@lemmy.world 15 points 1 year ago

Oder das regelmäßige "Datengeschenk" von 500MB bei dessen Abholung man immer auf's neue den Haken bei "Info Service der Telekom" rausnehmen muss.

Oder die Gewinnspiele bei denen der Haken für die Teilnahme gar nicht entfernt werden kann.

Verdammt nochmal ich will euren Info Service nicht😠

[-] You@feddit.de 7 points 1 year ago

Ah. Das habe ich gesehen und fand es merkwürdig, weil sie schließlich die Rechnungen schon dahin übermitteln. Also habe ich mir das nicht weiter durchgelesen und komplett ignoriert. Wenn es denen so wichtig ist, dann können sie ja die 🐌 Post nutzen und mir einen Brief schicken.

[-] germanatlas@lemmy.blahaj.zone 1 points 1 year ago* (last edited 1 year ago)

Ja, dieselbe Telekom, die bis vor ein paar Jahren Nutzerpasswörter im Klartext in Textdateien gespeichert hat

[-] mst@discuss.tchncs.de 7 points 1 year ago

Läuft bei mir eh nicht. LineageOS wird als root bezeichnet und die APP weigert sich zu starten.

[-] Proweruser@feddit.de 8 points 1 year ago

Deswegen rooted man wirklich. Dann kann man das root verstecken und hat noch einen Haufen andere Vorteile.

[-] nottheengineer@feddit.de 2 points 1 year ago

Wie denn? Ich dachte, das ist gestorben, als John Wu von google angestellt wurde.

[-] Proweruser@feddit.de 1 points 1 year ago

Nö Magisk macht er auch weiterhin.

[-] nottheengineer@feddit.de 1 points 1 year ago

Aber ohne Magisk hide, also versteckt es sich nicht mehr vor safetyNet.

[-] VanillaGorilla@kbin.social 6 points 1 year ago

Root hatte ich erfolgreich versteckt. Wie hieß das Tool... Weiß nicht mehr. Also für Magenta nicht relevant, aber für Banking evtl hilfreich. Irgend etwas mit M? Magisk?

[-] Tartufo@lemmy.blahaj.zone 6 points 1 year ago

Danke für den Hinweis, da kenne ich direkt mehrere potentiell Interessierte.

[-] polle@feddit.de 4 points 1 year ago

Zu der App hab ich eine lustige Geschichte. Wegen eines dummen Gewinnspiels meinmagenta installiert, welches ich natürlich nicht gewonnen habe. Jedenfalls hat mir die app beim öffnen unter meinem Vertrag angezeigt das ich meinen dsl Anschluss bei gleichen kosten auf die schnellere Leitung upgraden kann (von 50 auf 100 Mbit/s). Irgendwas langzeit Kundenbonus. Der Update Vorgang endete leider in einer Fehlermeldung und einem Produkt im Warenkorb der einfach den normalen Preis zeigte. Hab dann die Hotline angerufen. Nachdem ich zwei mal an eine andere Hotlinenummer verwiesen wurde und keiner die Werbeaktion kannte hab ich auf anraten eine Anfrage mit Screenshots per Kontaktformular abgeschickt. Dort antwortete mir jemand das, das nicht geht, ich aber bei der Hotline für Kündigungsprävention anrufen soll. Der Typ war dann super, kannte auch als erster die Kampagne. Er konnte es zwar auch nicht direkt buchen, weil im System irgendwas falsch war. Er wollte dann das ich ihm Screenshots schicke, welche ich zum Glück ja schon ein Tag zuvor hingeschickt hatte. So konnte er sie direkt raussuchen und es mit seinem chef abklären. 20 min später war die Leitung gebucht.

Tl;dr Telekom bekommt mich, durch schlechtes Gewinnspiel, dazu ihre kagg App zu installieren. Es führt dazu das sie mir die schnellere Leitung fürs gleiche Geld geben.

load more comments

this post was submitted on 25 Jul 2023

172 points (100.0% liked)

DACH - jetzt auf feddit.org

8871 readers

1 users here now

Diese Community wird zum 01.07 auf read-only gestellt. Durch die anhäufenden IT-Probleme und der fehlende Support wechseln wir als Community auf www.feddit.org/c/dach - Ihr seid herzlich eingeladen auch dort weiter zu diskutieren!

Das Sammelbecken auf feddit für alle Deutschsprechenden aus Deutschland, Österreich, Schweiz, Liechtenstein, Luxemburg und die zwei Belgier. Außerdem natürlich alle anderen deutschprechenden Länderteile der Welt.

Für länderspezifische Themen könnt ihr euch in folgenden Communities austauschen:

Eine ausführliche Sidebar findet ihr hier: Infothread: Regeln, Feedback & sonstige Infos

Auch hier gelten die Serverregeln von https://feddit.de !

Banner: SirSamuelVimes

founded 1 year ago

MODERATORS