April 8, 2021

15:04

Hm, tja, ich versuch hier grad ne SMS TAN für die Luca App zu bekommen, um nen bösen Verdacht zu testen. Geht natürlich auch mit curl (wenn es geht):

$  curl -X POST -H "Content-Type: application/json"  -d '{"phone":"+49XXXXXXXXX"}' https://app.luca-app.de/api/v3/sms/request
{"challengeId":"2618630a-AAAA-BBBB-CCCC-c40fb1e16c78"}

Man beachte die lange und interessant formatierte challengeId (techn. gesehen würde ein zufälliger 64 Bit Integer ausreichen. das hier sieht so aus, als wären da unnötig Daten kodiert und unnötige Daten heißt immer potentielle Angriffsfläche). Aber darum geht es hier nicht, sondern dass ich seit heute bei gefühlt jeder zweiten Anfrage folgendes Ergebnis bekomme:

$  curl -X POST -H "Content-Type: application/json"  -d '{"phone":"+49XXXXXXXXX"}' https://app.luca-app.de/api/v3/sms/request
Service Unavailable

Das deckt sich dann auch mit den ganzen Kommentaren auf Google Play, die sich darüber beschweren, keine Bestätigungs SMS bekommen zu haben. Macht jetzt auf den ersten Blick nicht so den Eindruck, als hätte culture4life Geld in ausreichend Serverkapazität gesteckt, um den bundesweiten Rollout zu stemmen, den sie gerade anstreben, oder?

Wäre auch nicht das erste Mal und ist vielleicht ein weiterers Sargnagel Indiz dafür, dass so ein Projekt nicht in die Hände eines Startups legt.