Detaillierter Ablauf unserer Recherchen

Lesezeit: 12 Minuten

Timeline

Um einen groben Überblick zu geben haben wir all unsere Entdeckungen und unsere Kommunikation in einer Timeline zusammengefasst.
Sie finden bei jedem Punkt eine kurze Beschreibung und einen Link auf weitere Details, um den Rahmen einer einzigen Seite nicht zu sprengen.

November 2019: Der erste iOS Bug

Mehr (Link)

Im November 2019 stießen wir in der iOS App von schul.cloud auf einen Fehler, der einige Einschränkungen für Schüler außer Kraft setzte.

08.11.2019: Anfrage bezüglich API

Mehr (Link)

Aus Interesse am Produkt schul.cloud, dass wir erst vor kurzem nutzten fragte Philipp auf Twitter bei den offiziellen Accounts von schul.cloud und stashcat nach, ob denn deren APIs öffentlich dokumentiert sind.
Das wurde leider verneint.

10.11.2019: Erster Kontakt bezüglich des iOS Bugs

Mehr (Link)

Mit einer ausführlichen Dokumentation zu dem von uns entdeckten Bug wendeten wir uns an die offiziellen E-Mail Adressen von schul.cloud und stashcat.

11.11.2019: Die Antwort auf unseren Bug

Mehr (Link)

Die Antwort von der “heinekingmedia GmbH” kam flott, es wurde sich für unsere offene Herangehensweise bedankt und die Ausbesserung des Fehlers mit der nächsten Version der App angekündigt.

12.11.2019: Bitte darum, auf dem Laufenden gehalten zu werden

Mehr (Link)

Erfreut über die schnelle Antwort baten wir in einer kurzen E-Mail darum bezüglich des Updates auf dem Laufenden gehalten zu werden, um einer frühzeitigen Veröffentlichung unsererseits vorzubeugen.

13.11.2019: Kontakt mit Philipp bezüglich den APIs

Mehr (Link)

Vom Account Managing Team der “heinekingmedia GmbH” kam überraschend per Mail eine Anfrage an Philipp, ob er ein Interesse an einem Telefongespräch zu Synergien zwischen stashcat und seinem eigenen Produkt KonfiApp hätte.

13.11.2019: Telefonat bezüglich der APIs

Mehr (Link)

Nachdem Philipp dem Telefonat zugestimmt hatte, ging es in dem Telefonat tatsächlich nur um mögliche Synergien und Philipps Meinung zu stashcat/schul.cloud.

19.11.2019: Erneute Bitte, auf dem Laufenden gehalten zu werden

Mehr (Link)

Da wir auch nach einer Woche noch keine Antwort erhalten hatten baten um ein Statusupdate zum Bugfix.

19.11.2019: Ein Statusupdate von schul.cloud

Mehr (Link)

Uns erreichte sehr zeitnah die Antwort, dass der Fehler mit der Version 3.3.0 behoben werden würde, die für Anfang/Mitte Dezember geplant sei.

21.11.2019: Versuch den Bugfix schneller implementieren zu lassen

Mehr (Link)

Wir hielten die Zeitangabe “Anfang/Mitte Dezember” für etwas ungenau und den Bug schwerwiegend genug, um eine frühere Implementierung zu rechtfertigen.
Dies teilten wir unserem Kontakt bei der “heinekingmedia GmbH” per Mail mit.

26.11.2019: Anlauf Nr.2 zum Thema früherer Bugfix

Mehr (Link)

Nach weiteren 5 Tagen verliehen wir unserem Anliegen Nachdruck, um schneller eine Antwort auf unsere Fragen zu erhalten.

27.11.2019: Antwort auf unser Anliegen früherer Bugfix

Mehr (Link)

Darauf antwortete unser Kontakt, die erste Mail sei nicht bei ihm angekommen (was wir nicht endgültig nachprüfen konnten, aber dazu in der langen Fassung mehr).
In der Antwort bezog er sich auf feste Releasezyklen, durch die der Bugfix mit der Version 3.3.0 am 10.12.2019 veröffentlich werden sollte.

28.11.2019: Eine kurze Reaktion unsererseits

Mehr (Link)

Für die Begründung der vergleichsweise langen Zeitspanne von der Entdeckung bis zur Implementierung bedankten wir uns und versicherten bis zur Veröffentlichung des Updates stillschweigen zu der Lücke zu bewahren.

10.12.2019: Das Update auf Version 3.3.0

Mehr (Link)

Wie angekündigt wurde das Update 3.3.0 mit dem Bugfix im Laufe des Tages veröffentlicht.
Der Fehler war offensichtlich behoben worden, nur dass die alten Versionen der App mit dem Fehler weiter funktionierten und sich der Fehler auch weiter ausnutzen lies erschien uns seltsam.

Dezember 2019 und Januar 2020: Weitere Entdeckungen

Mehr (Link)

Bei unserer weiteren Nutzung von schul.cloud fielen uns in den iOS und Android Apps erneut interessante Fehler auf, die zum Teil den von uns gemeldeten Fehler wiederspiegelten.
Ebenfalls begannen wir damit die zwar undokumentierte, aber für jeden Nutzer öffentlich zugängliche API von schul.cloud genauer zu betrachten.
Die dabei von uns entdeckten Probleme bewogen uns dazu erneut eine umfangreiche Dokumentation anzulegen, um diese dann der “heinekingmedia GmbH” zukommen zu lassen.

14.01.2020: Meldung unserer Entdeckungen an schul.cloud/stashcat

Mehr (Link)

In einem großen Paket übermittelten wir all unsere Entdeckungen mit umfangreicher Dokumentation an schul.cloud/stashcat per Mail.

14.01.2020 und 15.01.2020: Lesebestätigung

Wir freuten uns noch am selben Abend und nächsten Morgen über zahlreiche Lesebestätigungen aus der “heinekingmedia GmbH”.

15.01.2020: Ein Fehler unsererseits

Mehr (Link)

Mit der ersten Antwort wurde uns schmerzlich ein kleiner Fehler unsererseits bewusst.
Wir hatten beim Export der Mailtexte vergessen einen Hyperlink zu ersetzten - der Link zum Dokumentationspaket führte ins Leere.

15.01.2020: Eingeständnis und Beheben des Fehlers

Mehr (Link)

Schnell reagierten wir und übermittelten den korrekten Link mit einer kurzen Entschuldigung für unseren Fehler.

17.01.2020: Die Beurteilung unserer Funde durch heinekingmedia

Mehr (Link)

Als angehängtes PDF erreichte uns eine offizielle Einschätzung der durch uns aufgezeigten Probleme zusammen mit einigen Fragen.

22.01.2020: Unsere Antwort auf die Einschätzung und die Fragen

Mehr (Link)

In einer relativ ausführlichen Mail antworteten wir auf alle Einschätzungen und Fragen der “heinekingmedia GmbH”, wobei sich bereits herauskristallisierte, dass wir zu manchen Punkten verschiedener Ansicht waren.

22.01.2020: Telefonat mit unserem Ansprechpartner an der lokalen Schule

Mehr (Link)

Am selben Abend wurden wir überraschender Weise von unserem Kontakt an der Schule um ein gemeinsames Telefonat geboten.
Im Laufe dieses Telefonats teilte er uns mit, dass der Systembetreuer der Schule von schul.cloud kontaktiert worden sei, um unsere privaten schul.cloud Accounts löschen zu lassen.
Die Begründung und die Maßnahme verwirrten uns leicht, weshalb wir uns direkt per Mail an die Schulleitung wandten, die unser offizieller Vertragspartner war und auch unsere Zugänge zu schul.cloud genehmigt hatte.

22.01.2020: Antwort der Schulleitung

Mehr (Link)

Die Antwort der Schulleitung stellte sich als sehr freundlich und entgegenkommend heraus, wir wurden auf die Pflicht auf Herstelleranfragen zu reagieren hin- und für weiteres an den Systembetreuer verwiesen, der von der Schulleitung CC gesetzt wurde.

23.01.2020: Reaktion des Systembetreuers

Mehr (Link)

Auch der Systembetreuer äußerte sich, wobei die Äußerung etwas abweisender als die der Schulleitung ausfiel.
Er verwies auf einen (angeblichen) Verstoß gegen die Nutzungsbedigungen von schul.cloud, unseren Status als “externe Partner” und machte klar, dass er eine weitere Rücksprache für nicht erforderlich hielt.

23.01.2020: Unsere Antwort an den Systembetreuer

Mehr (Link)

Wir bedankten uns beim Systembetruer für die Antwort und versuchten in wenigen Zeilen unsere Sicht auf die Situation darzustellen.

23.01.2020: Unsere Antwort an die Schulleitung

Mehr (Link)

Auch bei der Schulleitung bedankten wir uns für die freundliche und informative Antwort und schlossen mit der Hoffnung die Angelegenheit zur Zufriedenheit aller Beteiligten zu lösen.

24.01.2020: Unsere Accounts sind ja gar nicht gelöscht

Mehr (Link)

Als wir erneut die API zu unseren Nutzern befragten fiel uns auf, dass immer noch die gleichen Daten als Antwort zurückkam.
Nach einem kurzen Blick in die Nutzungsbedigungen waren wir verwundert, da dies wie ein Verstoß gegen die eigenen Richtlinien zum Löschen von Accounts wirkte (wir haben hierzu keinen Anwalt befragt!).

25.01.2020: Update 3.4.0 von schul.cloud

Mehr (Link)

Mit Update 3.4.0 fiel uns ein neuer API-Endpunkt auf, die wir aber nicht weiter untersuchten, sondern nur in unsere Dokumentation aufnahmen.

25.01.2020: Öffentliche Schnittstellen und unsere Accounts

Mehr (Link)

Da eine der Schnittstellen mit besonderem Datenreichtum anscheinend geschlossen wurde fiel uns eine andere ins Auge, die ebenfalls viele Daten zu den Nutzern preis gab.
Auch bei einer erneuten Abfrage zu unseren Accounts kamen weiter alle Informationen wie zuvor zurück.
Wir schlussfolgerten, dass unsere Accounts wohl eindeutig nicht gelöscht worden waren.

25.01.2020-Heute: Funkstille

Seit unserem letzten Kontakt mit der Schule und der “heinekingmedia GmbH” hörten wir leider bis jetzt nichts neues von diesen Parteien.
Sofern wir feststellen können sind unsere Accounts immer noch als deaktiviert im System und damit auch unsere Namen, E-Mail Adressen, Profilbilder, Chats, etc.

weiterlesen: Neues in Zeiten von #CoronaFerien