Die Entwicklung der Fitness- und Zyklus-Tracking-App „femify“ wurde in einem Podcast als weitgehend „vibe coded“ beschrieben.¹
-
Die Entwicklung der Fitness- und Zyklus-Tracking-App „femify“ wurde in einem Podcast als weitgehend „vibe coded“ beschrieben.¹
Diese Aussage nahm eine technisch versierte Person zum Anlass, die Anwendung näher zu untersuchen... und stolperte über Daten von 8.000 Nutzer*innen: https://www.ccc.de/de/disclosure/femify-selbstbeforderung-zum-admin-dank-vibe-coding
¹ https://www.youtube.com/watch?v=9FEzXpxCnCw?t=2950 (auf eigene Gefahr...)
> Developer Tools des Browsers ‒ selbst Admin-Rechte zuweisen konnten.
Fallen die Developer Tools damit nicht auch unter den Hackerparagraf § 202a?
-
> Developer Tools des Browsers ‒ selbst Admin-Rechte zuweisen konnten.
Fallen die Developer Tools damit nicht auch unter den Hackerparagraf § 202a?
@klml da gehe ich fest von aus. Anzeige ist raus
-
> Developer Tools des Browsers ‒ selbst Admin-Rechte zuweisen konnten.
Fallen die Developer Tools damit nicht auch unter den Hackerparagraf § 202a?
@klml @kantorkel das schlimme ist das war mein erster Gedanke, wo deutsche Gerichte doch ein hard codiertes Klartext Passwort als ausreichende Sicherheitsmaßnahme ansehen
-
System shared this topic
-
@kantorkel >>Warum die „KI“ implementierte, dass Nutzer*innen sich selbst zum Admin befördern können, ist nicht übermittelt.<<
Nicht ausreichend dokumentiert, ich lieb‘s
@kantorkel warum eine App Gesundheitsdaten überhaupt auf externen Servern speichert, wurde vermutlich ebenso nicht übermittelt
-
Die Entwicklung der Fitness- und Zyklus-Tracking-App „femify“ wurde in einem Podcast als weitgehend „vibe coded“ beschrieben.¹
Diese Aussage nahm eine technisch versierte Person zum Anlass, die Anwendung näher zu untersuchen... und stolperte über Daten von 8.000 Nutzer*innen: https://www.ccc.de/de/disclosure/femify-selbstbeforderung-zum-admin-dank-vibe-coding
¹ https://www.youtube.com/watch?v=9FEzXpxCnCw?t=2950 (auf eigene Gefahr...)
@kantorkel mich würde interessieren, was die genaue Lücke ist.
Ich habe für mich selbst ein paar Dienste mit dutzenden Prompts zu security und privacy gevibecoded und da würde mich interessieren, wie ich die dahingehend überprüfen kann, ob ein solcher Angriff bei meinem Schrott auch möglich wäre.
-
@kantorkel mich würde interessieren, was die genaue Lücke ist.
Ich habe für mich selbst ein paar Dienste mit dutzenden Prompts zu security und privacy gevibecoded und da würde mich interessieren, wie ich die dahingehend überprüfen kann, ob ein solcher Angriff bei meinem Schrott auch möglich wäre.
@wonshu vereinfacht: mit PATCH request an https://sub.supabase.co/rest/v1/user mit
{"subscription": "active", "role": "admin"} konnte man sich befördern -
@wonshu vereinfacht: mit PATCH request an https://sub.supabase.co/rest/v1/user mit
{"subscription": "active", "role": "admin"} konnte man sich befördern@kantorkel danke, das schau ich mir an.
Das scheint ja noch einfacher als die Cookie-Capture Geschichte vor 15 Jahren oder wann das war... Firesheep? Oder wie das hiess... oder werf ich da was durcheinander...
-
Die Entwicklung der Fitness- und Zyklus-Tracking-App „femify“ wurde in einem Podcast als weitgehend „vibe coded“ beschrieben.¹
Diese Aussage nahm eine technisch versierte Person zum Anlass, die Anwendung näher zu untersuchen... und stolperte über Daten von 8.000 Nutzer*innen: https://www.ccc.de/de/disclosure/femify-selbstbeforderung-zum-admin-dank-vibe-coding
¹ https://www.youtube.com/watch?v=9FEzXpxCnCw?t=2950 (auf eigene Gefahr...)
@kantorkel @bkastl „Warum die „KI“ implementierte, dass Nutzer*innen sich selbst zum Admin befördern können, ist nicht übermittelt.“
LMAO.
-
Die Entwicklung der Fitness- und Zyklus-Tracking-App „femify“ wurde in einem Podcast als weitgehend „vibe coded“ beschrieben.¹
Diese Aussage nahm eine technisch versierte Person zum Anlass, die Anwendung näher zu untersuchen... und stolperte über Daten von 8.000 Nutzer*innen: https://www.ccc.de/de/disclosure/femify-selbstbeforderung-zum-admin-dank-vibe-coding
¹ https://www.youtube.com/watch?v=9FEzXpxCnCw?t=2950 (auf eigene Gefahr...)
@kantorkel
Jaaa, jetzt lass mal gut sein. Glaube einfach ganz konsequent an die Prophezeiung der Claudia von Cyber: Mittelfristig könnte alles gut werden1!11
-
@kantorkel >>Warum die „KI“ implementierte, dass Nutzer*innen sich selbst zum Admin befördern können, ist nicht übermittelt.<<
Nicht ausreichend dokumentiert, ich lieb‘s
@lontrachen @kantorkel ich hab dieses pattern vor 10 oder 15 jahren öfter in webapplikationen gesehen, daß die entsprechenden felder in der profilverwaltung für nicht-admins "disabled" waren, aber im backend nicht geprüft wurde. wahrscheinlich ist solcher schrott in das trainingsmaterial der "KI" eingeflossen.
-
R relay@relay.mycrowd.ca shared this topic
