Hallo, ihr hier!
Mir ist etwas aufgefallen. In unsere Firma setzen wir zur Arbeitszeiterfassung eine Stempeluhr auf Cloudbasis ein. Die Firma greift auf die edtime/edpep von eurodata zurück. Ich bekomme in dieser App meinen Dienstplan, kann meinen Urlaub einreichen, kann mich krank melden usw. Es gibt auch eine Ablage für Stundenzettel. Diesen kann man sich jeder Zeit als PDF-Dokument herunterladen.
Soweit, so gut. Als unsere Filiale diese App im September 2018 eingeführt hat, habe ich meine Bedenken wegen Datensicherheit geäußert. Mir wurde versichert das die GPS-Daten nur dafür benötigt werden das ich mich nicht z.B. von Unterwegs einstempeln kann, auch würden die Daten in Deutschland bleiben, schließlich ist die eurodata nach ISO/IEC 27001 zertifiziert und die Server stehen in Saarbücken.
Das GPS verwendet werden muss, hat mich ja schon immer geärgert. Ich kann mich nur im Umkreis von c.a. 100 Meter von meiner Arbeitsstätte ein und ausloggen. Doch wer sagt denn das eurodata nicht auch mal so schaut, wo ich gerade bin? Im Google Play Store habe ich dem Entwickler-Team den Vorschlag unterbreitet, dass man doch auf GPS verzichten könne, wenn man z.B. das ganze mit einem NFC Tag, der in der Firma hängt, lösen kann. Handy daranhalten, einstempelt fertig. Doch dieser Vorschlag wurde bisher ignoriert.
Doch was ich jetzt gefunden habe ist eine Riesen Sauerei!
Ich habe auf meinem Handy den Datenverkehr mitgeschnitten und dabei explizit nur die App „edpep“ gefiltert, anschließend habe ich mir die Pakete mit Wireshark angesehen. Die Verbindung der „edpep“ ist TLSv1.2 verschlüsselt – gut. Es wird immer die gleiche IP angesprochen und mit „nslookup“ konnte ich sehen, dass dies ein Server von edtime ist. Aber es wird auch eine IP von Amazon angesprochen. Hierbei sind mit 3 verschiedene IPs aufgefallen. Zum Paket mitschnitt habe ich 3 Lösungen eingesetzt. Lösung 1: Fritzbox (hier wurde nicht die App gefiltert, sondern der ganze Datenverkehr des Handys aufgezeichnet), Lösung 2: die App tPaketCapture Pro, Lösung 3: PCAP Remote.
Was könnte es also sein? Was wird da an Amazon übertragen, meine Idee, es ist Amazon Tracking.
Was habt ihr für eine Idee was es sein könnte? Wie soll ich mich verhalten? – Soll ich einfach mal eurodata anschreiben, mein Arbeitgeber sagt ich soll die Finger von lassen und keinen Wind machen.
Ich habe auch eine *.pcap in meine Onedrive gepackt wer schauen möchte: https://1drv.ms/u/s%21ArMwBeVao4wVtBGvT1Rv3X4EQjD_?e=xDPsj7
