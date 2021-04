Halyna Kubiv

Eine Schwachstelle in der Luca-App erlaubte es einem Nutzer, eine private Party mit 500.000 virtuellen Gästen zu veranstalten.

Vergrößern Konzert © Skreidzeleu / Shutterstock

Die Luca-App wird in weiteren Bundesländern implementiert. So wurde gestern bekannt gegeben, dass auch Bayern die Software-Lösung eingekauft hat. Entsprechend groß ist das Interesse an der App. Gestern Abend ist jedoch ein Experiment mit der privaten Party per Luca etwas schiefgelaufen: Der Journalist Enno Lenze hat auf seinem Twitter-Kanal dazu aufgerufen, sich für seine Party einzuchecken und dazu den entsprechenden QR-Code veröffentlicht. Innerhalb von zwei Stunden haben sich dafür knapp fünfzig Gäste angemeldet, doch danach stieg die Zahl der virtuellen Gäste rapide : Nach weiteren zwei Stunden erhöhte sich die Zahl auf eine halbe Million Gäste , die App lud immer langsamer, bis sie sich schließlich aufhing. Dann haben die Luca-Entwicker das Event gelöscht , auch Smudo hat sich beim "Gastgeber" gemeldet . Demnach stellen solche Fehler kein Problem dar, weil ja eh keine Daten an das Gesundheitsamt übermittelt werden, falls einer der Besucher auf einer privaten Party positiv getestet wird.

Was zu solchen Fehlern führen konnte, war ein manipulierter QR-Code oder ein Script auf dem Rechner eines Besuchers. Denn bis vor kurzem konnte man aus dem erhaltenen QR-Code den Link auf das Event auf dem Luca-Server erhalten. Aus diesem Link ließen sich wichtige Informationen wie die genaue Adresse, Anzahl der Gäste etc. erfahren, selbst wenn man sich für die Party nicht angemeldet hat. Offenbar war es auch möglich, mit dem Zugriff auf diese Daten die Anzahl der Gäste zu manipulieren . Um die genaue Anleitung zu finden, wie man von einem Luca-Code auf die Informationen wie Adresse und Gästezahl herankommt, haben wir etwa eine halbe Stunde auf Twitter gebraucht. Den Thread werden wir hier nicht verlinken, außerdem hat der Finder auf unsere Anfrage hin gemeint, nach der gestrigen viralen Party haben Luca-Entwickler zumindest den Zugang zu den Event-Infos auf dem Server gesperrt, sodass sie nicht mehr so leicht zu finden sind.

Wir haben deswegen die Pressestelle von Nexenio, dem Entwickler der Luca-App kontaktiert. Sobald uns die Antwort vorliegt, werden wir den Artikel aktualisieren. Derweil geht die Suche nach den Fehlern in der Luca-App weiter.