Um einen groben Überblick zu geben haben wir all unsere
Entdeckungen und unsere Kommunikation in einer Timeline
zusammengefasst.
Sie finden bei jedem Punkt eine kurze Beschreibung und einen Link
auf weitere Details, um den Rahmen einer einzigen Seite nicht zu
sprengen.
Im November 2019 stießen wir in der iOS App von schul.cloud auf einen Fehler, der einige Einschränkungen für Schüler außer Kraft setzte.
Aus Interesse am Produkt schul.cloud, dass wir erst vor kurzem
nutzten fragte Philipp auf Twitter bei den offiziellen Accounts
von schul.cloud und stashcat nach, ob denn deren APIs öffentlich
dokumentiert sind.
Das wurde leider verneint.
Mit einer ausführlichen Dokumentation zu dem von uns entdeckten Bug wendeten wir uns an die offiziellen E-Mail Adressen von schul.cloud und stashcat.
Die Antwort von der “heinekingmedia GmbH” kam flott, es wurde sich für unsere offene Herangehensweise bedankt und die Ausbesserung des Fehlers mit der nächsten Version der App angekündigt.
Erfreut über die schnelle Antwort baten wir in einer kurzen E-Mail darum bezüglich des Updates auf dem Laufenden gehalten zu werden, um einer frühzeitigen Veröffentlichung unsererseits vorzubeugen.
Vom Account Managing Team der “heinekingmedia GmbH” kam überraschend per Mail eine Anfrage an Philipp, ob er ein Interesse an einem Telefongespräch zu Synergien zwischen stashcat und seinem eigenen Produkt KonfiApp hätte.
Nachdem Philipp dem Telefonat zugestimmt hatte, ging es in dem Telefonat tatsächlich nur um mögliche Synergien und Philipps Meinung zu stashcat/schul.cloud.
Da wir auch nach einer Woche noch keine Antwort erhalten hatten baten um ein Statusupdate zum Bugfix.
Uns erreichte sehr zeitnah die Antwort, dass der Fehler mit der Version 3.3.0 behoben werden würde, die für Anfang/Mitte Dezember geplant sei.
Wir hielten die Zeitangabe “Anfang/Mitte Dezember” für etwas
ungenau und den Bug schwerwiegend genug, um eine frühere
Implementierung zu rechtfertigen.
Dies teilten wir unserem Kontakt bei der “heinekingmedia GmbH” per
Mail mit.
Nach weiteren 5 Tagen verliehen wir unserem Anliegen Nachdruck, um schneller eine Antwort auf unsere Fragen zu erhalten.
Darauf antwortete unser Kontakt, die erste Mail sei nicht bei ihm
angekommen (was wir nicht endgültig nachprüfen konnten, aber dazu
in der langen Fassung mehr).
In der Antwort bezog er sich auf feste Releasezyklen, durch die
der Bugfix mit der Version 3.3.0 am 10.12.2019 veröffentlich
werden sollte.
Für die Begründung der vergleichsweise langen Zeitspanne von der Entdeckung bis zur Implementierung bedankten wir uns und versicherten bis zur Veröffentlichung des Updates stillschweigen zu der Lücke zu bewahren.
Wie angekündigt wurde das Update 3.3.0 mit dem Bugfix im Laufe des
Tages veröffentlicht.
Der Fehler war offensichtlich behoben worden, nur dass die alten
Versionen der App mit dem Fehler weiter funktionierten und sich
der Fehler auch weiter ausnutzen lies erschien uns seltsam.
Bei unserer weiteren Nutzung von schul.cloud fielen uns in den iOS
und Android Apps erneut interessante Fehler auf, die zum Teil den
von uns gemeldeten Fehler wiederspiegelten.
Ebenfalls begannen wir damit die zwar undokumentierte, aber für
jeden Nutzer
öffentlich zugängliche API von
schul.cloud genauer zu betrachten.
Die dabei von uns entdeckten Probleme bewogen uns dazu erneut eine
umfangreiche Dokumentation anzulegen, um diese dann der
“heinekingmedia GmbH” zukommen zu lassen.
In einem großen Paket übermittelten wir all unsere Entdeckungen mit umfangreicher Dokumentation an schul.cloud/stashcat per Mail.
Wir freuten uns noch am selben Abend und nächsten Morgen über zahlreiche Lesebestätigungen aus der “heinekingmedia GmbH”.
Mit der ersten Antwort wurde uns schmerzlich ein kleiner Fehler
unsererseits bewusst.
Wir hatten beim Export der Mailtexte vergessen einen Hyperlink zu
ersetzten - der Link zum Dokumentationspaket führte ins Leere.
Schnell reagierten wir und übermittelten den korrekten Link mit einer kurzen Entschuldigung für unseren Fehler.
Als angehängtes PDF erreichte uns eine offizielle Einschätzung der durch uns aufgezeigten Probleme zusammen mit einigen Fragen.
In einer relativ ausführlichen Mail antworteten wir auf alle Einschätzungen und Fragen der “heinekingmedia GmbH”, wobei sich bereits herauskristallisierte, dass wir zu manchen Punkten verschiedener Ansicht waren.
Am selben Abend wurden wir überraschender Weise von unserem
Kontakt an der Schule um ein gemeinsames Telefonat geboten.
Im Laufe dieses Telefonats teilte er uns mit, dass der
Systembetreuer der Schule von schul.cloud kontaktiert worden sei,
um unsere privaten schul.cloud Accounts löschen zu lassen.
Die Begründung und die Maßnahme verwirrten uns leicht, weshalb wir
uns direkt per Mail an die Schulleitung wandten, die unser
offizieller Vertragspartner war und auch unsere Zugänge zu
schul.cloud genehmigt hatte.
Die Antwort der Schulleitung stellte sich als sehr freundlich und entgegenkommend heraus, wir wurden auf die Pflicht auf Herstelleranfragen zu reagieren hin- und für weiteres an den Systembetreuer verwiesen, der von der Schulleitung CC gesetzt wurde.
Auch der Systembetreuer äußerte sich, wobei die Äußerung etwas
abweisender als die der Schulleitung ausfiel.
Er verwies auf einen (angeblichen) Verstoß gegen die
Nutzungsbedigungen von schul.cloud, unseren Status als “externe
Partner” und machte klar, dass er eine weitere Rücksprache für
nicht erforderlich hielt.
Wir bedankten uns beim Systembetruer für die Antwort und versuchten in wenigen Zeilen unsere Sicht auf die Situation darzustellen.
Auch bei der Schulleitung bedankten wir uns für die freundliche und informative Antwort und schlossen mit der Hoffnung die Angelegenheit zur Zufriedenheit aller Beteiligten zu lösen.
Als wir erneut die API zu unseren Nutzern befragten fiel uns auf,
dass immer noch die gleichen Daten als Antwort zurückkam.
Nach einem kurzen Blick in die Nutzungsbedigungen waren wir
verwundert, da dies wie ein Verstoß gegen die eigenen Richtlinien
zum Löschen von Accounts wirkte (wir haben hierzu keinen Anwalt
befragt!).
Mit Update 3.4.0 fiel uns ein neuer API-Endpunkt auf, die wir aber nicht weiter untersuchten, sondern nur in unsere Dokumentation aufnahmen.
Da eine der Schnittstellen mit besonderem Datenreichtum
anscheinend geschlossen wurde fiel uns eine andere ins Auge, die
ebenfalls viele Daten zu den Nutzern preis gab.
Auch bei einer erneuten Abfrage zu unseren Accounts kamen weiter
alle Informationen wie zuvor zurück.
Wir schlussfolgerten, dass unsere Accounts wohl eindeutig nicht
gelöscht worden waren.
Seit unserem letzten Kontakt mit der Schule und der
“heinekingmedia GmbH” hörten wir leider bis jetzt nichts neues von
diesen Parteien.
Sofern wir feststellen können sind unsere Accounts immer noch als
deaktiviert im System und damit auch unsere Namen, E-Mail
Adressen, Profilbilder, Chats, etc.