De Duitse hackersclub CCC eist dat de Duitse deelstaten direct stoppen met de financiële steun aan de Duitse corona-app Luca waar al miljoenen euro's in zijn gestopt en van alles mis mee zou zijn. De Duitse federale overheid liet eerder al de Corona-Warn-App ontwikkelen die inmiddels door miljoenen mensen dagelijks wordt gebruikt. De app functioneert net als de Nederlandse CoronaMelder en waarschuwt wanneer gebruikers met een besmet persoon in contact zijn geweest.

Desondanks hebben de Duitse deelstaten bij elkaar al meer dan twintig miljoen euro aan belastinggeld in de Luca-app geïnvesteerd. De app moet de papieren lijsten vervangen die evenementen en restaurants gebruikten, toen de horeca nog geopend was, voor het verzamelen van contactgegevens van gasten, zodat die door de gezondheidsautoriteiten in het geval van een besmetting konden worden benaderd.

De Luca-app maakt geen gebruik van bluetooth, maar werkt alleen met qr-codes. Gasten kunnen bij het betreden van een evenement de qr-code van hun Luca-app laten scannen of scannen zelf een qr-code aan de tafel van de betreffende horecagelegenheid en worden zo ingecheckt. Gegevens worden volgens de ontwikkelaars vier weken na het bezoek aan het evenement of restaurant automatisch verwijderd.

Volgens de CCC is er van alles mis met de Luca-app en is die ook overbodig, aangezien de Corona-Warn-App met de volgende update een soortgelijke functionaliteit krijgt. De hackersclub stelt dat de Duitse rapper Smudo via een gelikte marketingcampagne van enkele maanden de deelstaten zover heeft gekregen om de app financieel te ondersteunen, waarbij de aanbestedingsregels zouden zijn omzeild. Achter de app bevindt zich het bedrijf culture4life, waar Smudo een aandeel van 22 procent in heeft.

Verder hekelt de CCC ook de veiligheid van de app. Zo is het zeer eenvoudig om fake accounts aan te maken en is de Luca-backend in staat om elke apparaat te identificeren en bij te houden wanneer die inchecken. De ontwikkelaars claimen echter dat gebruikers anoniem zijn. Verder zijn er ook honderdduizenden Luca-sleutelhangers met een vaste qr-code door de deelstaten aangeschaft. Iemand die deze qr-code kopieert kan zich als de oorspronkelijke gebruiker voordoen en kijken waar die allemaal is geweest. Daarnaast is pas een deel van de broncode openbaar gemaakt.

De Berlijnse privacytoezichthouder waarschuwde vorige week voor de Luca-app. Alle gezondheidsautoriteiten die met het systeem werken beschikken over dezelfde decryptiesleutel en alle bewegingsdata van gebruikers wordt centraal opgeslagen. Volgens de toezichthouder zijn er dan ook nog aanzienlijke risico's die nog niet zijn verholpen. Ook hekelde de toezichthouder het feit dat stadstaat Berlijn zonder voorafgaande toetsing voor 1,2 miljoen euro aan licenties voor de Luca-app heeft aangeschaft.

De CCC stelt dat de Luca-app het zoveelste voorbeeld is van corona-avonturiers die van de pandemie willen profiteren. De Duitse hackerclub eist nu dat de deelstaten hun steun aan de app per direct stoppen en er een onderzoek naar het aanbestedingsproces wordt ingesteld.