Verimi ID-Wallet: Foto-Ident-Verfahren ausgetrickst
Verimi, Anbieter für ID-Wallet-Lösungen, hat in Deutschland mehrere Eisen im Feuer. Derzeit steht man aber in der Kritik, denn laut Bericht von Lilith Wittmann habe man wohl zur Erlangung einer Bank-Lizenz für den Bezahldienst Verimi Pay etwas getrickst. Ebenso wird dem Unternehmen vorgeworfen, eine Datenpanne nicht an Nutzer bekannt gegeben zu haben. Da sollen wohl die Nutzernamen und Passwörter im Klartext abgespeichert worden seien, wie u. a. die Computer Bild berichtete.
Das sind natürlich Dinge, die man nicht lesen möchte, wenn es sich um einen Anbieter für Identitäts-Lösungen handelt, auf den unter anderem die Barmer setzen wird. Hinter Verimi stehen mehrere deutsche Unternehmen als Gründungspartner: Allianz, Axel Springer, Bundesdruckerei, CORE, Daimler, Deutsche Bank, Giesecke & Devrient, Here, Lufthansa und Telekom.
Verimi unterstützt grundsätzlich auch den digitalen Personalausweis und auch den digitalen Führerschein. Vorteile bringt es euch derzeit nicht wirklich, den Führerschein da vorliegen zu haben. Weil: Amtlich akzeptiert sind derzeit ausschließlich physische Dokumente. Dennoch sollte man in Hinblick auf die Zukunft natürlich digitale Lösungen ins Auge fassen.
Vermis Lösung mit dem Führerschein scheint jedenfalls auch nicht wirklich sinnvoll. In der Verimi ID-Wallet „erfassen die Nutzer ihren Führerschein über das Foto-Ident-Verfahren“. Das setzen für gewöhnlich in Deutschland nur Institutionen ein, die keiner Regulierung unterliegen. Das Verfahren gilt als unsicher, wird aber in anderen Ländern auch für Banking-Bestätigungen genutzt. Bei Verimi – und vermutlich auch anderen Anbietern, die auf das Foto-Ident-Verfahren setzen – war es nun jedenfalls innerhalb weniger Minuten möglich, den digitalen Führerschein zu manipulieren.
Der komplette Thread befindet sich bei Twitter hier. Die Kurzform? Führerschein abfotografieren, manipulieren und dazu ein lebensgroß ausgedrucktes Bild. Der „KI-gestützte Prozess“ bestätigte das Ganze – fertig war der manipulierte, digitale Führerschein. Martin Tschirsich, der das Manöver durchführte dazu: „Ausweislich der Verimi ID-Wallet bin ich inzwischen stolzer Besitzer mehrerer digitaler Führerscheine sowie einer Schweizer Staatsbürgerschaft (kann nie schaden). Ein digitaler Dokumentengenerator beschleunigt das ganze Prozedere.“
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
was genau wurde da jetzt ausgetrickst? verimi sagt doch selber dass der Führerschein nirgendwo akzeptiert wird und das ist kein offizielles Dokument ist. Ich hätte das nämlich gerne für irgendwas genutzt und musste feststellen, es ist überhaupt keine Funktion hat. Man ist also gerade nicht Besitzer eines digitalen Führerscheins, dafür gibt es gar keine Rechtsgrundlage.
Steht alles im Text.
Mh. Ich habe den Text schon gelesen aber was genau ist da jetzt die Kunst? Das wäre ja so wie wenn man eine x-beliebige Wallet App „austrickst“? Mehr ist verimi ja nicht.
Es geht aber nicht um eine x-beliebige App.
Entschuldigung, aber ich bin verwundert dass du so eine Behauptung triffst und sie nicht begründest. Das ist eine rein private App von Unternehmen die nicht offiziell von irgendeiner offiziellen Stelle ist. Sie bietet auch keinerlei offizielle Funktionen. Was ist an dieser App jetzt anders an als an jeder anderen Wallet App?
Amtlich akzeptiert sind die digitalen Dokumente noch nicht. Aber im privatwirtschaftlichen Raum durchaus schon. Auto mieten, Bankkonto eröffnen etc. kann damit je nach Anbieter möglich sein.
Na Gott sei Dank wird der Kram noch nicht akzeptiert. Oben wurde gerade nachgewiesen, dass man eben keinen sichern Validierungsprozess hat, ja offensichtlich nicht mal Relationen auf Sinnhaftigkeit prüft (eine Person mit mehreren Führerscheinen), und damit das ganze System nicht vertrauenswürdig und damit unbrauchbar ist.
Bin bei „Axel Springer“ schon ausgestiegen, ganz unabhängig der sonstigen Pannen! Die Chance den Dienst je zu nutzen ist bei weniger als 0 angekommen!
Wäre ich Kunde bei Firmen welche dies nutzen/einem aufzwingen, würde ich definitiv wechseln bzw. kündigen.
Wenn ich so etwas lesen, kommt mir echt die Galle hoch. Ein IT-Unternehmen, hinter dem einige der renommiertesten Unternehmen der deutschen Wirtschaft stehen, stümpert in einer Weise rum, dass man annehmen müsste, der 12-jährige Neffe des Geschäftsführers macht seine ersten Programmierversuche. Benutzernamen und Kennwörter der Nutzer tauchen im Klartext in Log-Dateien auf? Die Kennwörter dürfte das System nicht einmal im Klartext kennen! Das ist nicht nur eine einfache „Datenpanne“, das ganze Konstrukt muss im Grunde abgeschaltet werden. Die „Leitlinien“ von Verimi lesen sich jetzt wie ein schlechter Witz: https://verimi.de/ueber-verimi/
Ich bin zwar kein Programmierer, aber die Kombination „Kennwörter“ und „Klartext“ kam mir auch ein bisschen amateurhaft vor.
Vielleicht sollten wir einiges einfach an junge ukrainische Unternehmensgründer auslagern bzw die hier in Deutschland das weiter ausüben lassen dürfen… Ukrainer haben hierzulande schon nicht schlecht gestaunt wie viel Zettel man offline, altmodisch, ausfüllen muss. Wohlgemerkt deutlich weiter westlich gelandet…Es erstaunt einfach nur noch wie stümperhaft das hierzulande alles gehandhabt wird und dann solch große Unternehmen dahinterstecken.
Vielleicht nicht gerade Unternehmensgründer, aber entsprechende ukrainische Unternehmen. Gerade im Bereich IT-Security haben die echt fähige Leute. Und gerade was E-Geovernance und E-ID angeht haben die auch deutlich mehr praktische Erfahrungen als wir.
Auf Zettel gibt es wenigstens keine Phishingangriffe, können nicht verschlüsselt werden und eine ganze Landkreisverwaltung wie schon öfters in Deuschland geschehen über Wochen lahmlegen.
Egal wers programmiert, fast täglich gibt es Meldungen, dass sensible Daten millionenfach abgegriffen und im Darknet für Identitätsdiebstähle versilbert werden. Digitalisierung hat auch ihre Schattenseiten.
Avanti Diletanti! Hat hier jemand was anderes erwartet bei diesem Firmenkonsortium?
Unbedeutende „Panne“. Weil sowieso nutzlos und in etwa so gefährlich Falschgeld aus dem Drucker Zuhause.
Veri veri bad IT-security, not sufficient for mi.
Axel Springer macht bei Verimi mit und Computer Blöd berichtet über die Lücken obwohl die zum Axel Konzern gehören. Ich mache mich mal auf einen Bericht über Personalwechsel bereit.
Wenn die Existenz eines Führerscheins bei Kraftfahrtbundesamt in Flensburg hinterlegt ist und nicht nur lokal in der örtlichen Fahrerlaubnisbehörde, dann sollte es ein Leichtes sein, den Führerschein rechts- und fälschungssicher per AusweisApp2 und digitalem Personalausweis abzurufen.
Die Daten kommen dann direkt vom Server des KBA und hinzufügen kann es auch nur, wer im Besitz des Persos der gleichen Person ist sowie der zugehörigen PIN.