1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Connect-App: CDU zeigt offenbar…

Klarstellung?

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema Ansicht wechseln


  1. Klarstellung?

    Autor: DAASSI 06.08.21 - 11:22

    Ich glaube der Artikel vermischt hier einige Infos um ein gewisses Bild zu erzeugen.

    Wenn ich recht informiert bin, dann wurde der guten Frau angeboten für die CDU Sicherheitslücken zu entdecken (gegen Geld). Das hat sie abgelehnt!
    Effektiv wäre das ein BugBounty gewesen.

    Allerdings hat die gute Frau durch die Veröffentlichung (scheinbar ohne richtige Frist) dafür gesorgt, dass Daten abgegriffen wurden. Das ist ein klarer Verstoß gegen "Responsible Disclosure".

    Da muss man doch sagen, da liegt der Verdacht nahe, dass erst durch die Veröffentlichung der Sicherheitslücke eine Straftat "angeleiert" wurde, bzw. es halt andere zu einer Straftat verleitet hat.

    Von daher halt ich es für legitim, durch die Polizei prüfen zu lassen. Ziel der "Anzeige" ist ja ein Ermittlungsverfahren, nicht die gute Frau schlecht zu machen.

    Für mich persönlich klingt die ganze Geschichte übrigens danach, dass die Frau explizit etwas gesucht hat um die CDU anzugreifen, sonst hätte sie das Jobangebot angenommen. Kann mir kaum vorstellen, dass die CDU ihr nur "ein paar Euros" geboten hat.

    Im Twitterprofil lässt es sich ja ablesen: Krawallinfluencerin, irgendwas mit Digitalisierung & gegen Kapitalismus; politisch hier



    2 mal bearbeitet, zuletzt am 06.08.21 11:39 durch DAASSI.

  2. Re: Klarstellung?

    Autor: Benutztername12345 06.08.21 - 12:21

    DAASSI schrieb:
    --------------------------------------------------------------------------------
    > Ich glaube der Artikel vermischt hier einige Infos um ein gewisses Bild zu
    > erzeugen.
    >
    > Wenn ich recht informiert bin, dann wurde der guten Frau angeboten für die
    > CDU Sicherheitslücken zu entdecken (gegen Geld). Das hat sie abgelehnt!
    > Effektiv wäre das ein BugBounty gewesen.
    >
    > Allerdings hat die gute Frau durch die Veröffentlichung (scheinbar ohne
    > richtige Frist)

    Quelle?

  3. Re: Klarstellung?

    Autor: FerdiGro 06.08.21 - 12:29

    DAASSI schrieb:
    --------------------------------------------------------------------------------
    > Ich glaube der Artikel vermischt hier einige Infos um ein gewisses Bild zu
    > erzeugen.
    >
    > Wenn ich recht informiert bin, dann wurde der guten Frau angeboten für die
    > CDU Sicherheitslücken zu entdecken (gegen Geld). Das hat sie abgelehnt!
    > Effektiv wäre das ein BugBounty gewesen.
    >
    > Allerdings hat die gute Frau durch die Veröffentlichung (scheinbar ohne
    > richtige Frist) dafür gesorgt, dass Daten abgegriffen wurden. Das ist ein
    > klarer Verstoß gegen "Responsible Disclosure".
    >
    > Da muss man doch sagen, da liegt der Verdacht nahe, dass erst durch die
    > Veröffentlichung der Sicherheitslücke eine Straftat "angeleiert" wurde,
    > bzw. es halt andere zu einer Straftat verleitet hat.
    >
    > Von daher halt ich es für legitim, durch die Polizei prüfen zu lassen. Ziel
    > der "Anzeige" ist ja ein Ermittlungsverfahren, nicht die gute Frau schlecht
    > zu machen.
    >
    > Für mich persönlich klingt die ganze Geschichte übrigens danach, dass die
    > Frau explizit etwas gesucht hat um die CDU anzugreifen, sonst hätte sie das
    > Jobangebot angenommen. Kann mir kaum vorstellen, dass die CDU ihr nur "ein
    > paar Euros" geboten hat.
    >
    > Im Twitterprofil lässt es sich ja ablesen: Krawallinfluencerin, irgendwas
    > mit Digitalisierung & gegen Kapitalismus; politisch hier

    Wenn es so wäre müsste man die Anzeige, welche laut CDU aus Versehen war, nicht zurückziehen und hatte beweise für ein ordentliches Strafverfahren. Hat man offensichtlich aber nicht.

    Welche Geschichte stimmt also wohl eher? Deine oder die in Artikel? Hmmm....

  4. Re: Klarstellung?

    Autor: DAASSI 06.08.21 - 15:05

    Unzählige andere Medien ;) (nein keine "alternativen")

  5. Re: Klarstellung?

    Autor: LusisOrdo 06.08.21 - 15:49

    DAASSI schrieb:
    --------------------------------------------------------------------------------
    > Unzählige andere Medien ;) (nein keine "alternativen")

    Und welche nun genau? Name? Link zum Artikel?
    Die Quellenangabe ist so qualitativ wie Quelle:Internet

  6. Re: Klarstellung?

    Autor: Benutztername12345 06.08.21 - 16:03

    DAASSI schrieb:
    --------------------------------------------------------------------------------
    > Unzählige andere Medien ;) (nein keine "alternativen")
    Dann fällt es dir sicher leicht, eine hier zu nennen.

  7. Re: Klarstellung?

    Autor: hab (Golem.de) 06.08.21 - 18:38

    DAASSI schrieb:
    --------------------------------------------------------------------------------
    > Allerdings hat die gute Frau durch die Veröffentlichung (scheinbar ohne
    > richtige Frist) dafür gesorgt, dass Daten abgegriffen wurden. Das ist ein
    > klarer Verstoß gegen "Responsible Disclosure".

    Das stimmt so von der Reihenfolge nicht.
    Die Veröffentlichung der Sicherheitslücke erfolgte durch diesen Blogpost:
    https://lilithwittmann.medium.com/wenn-die-cdu-ihren-wahlkampf-digitalisiert-a3e9a0398b4d

    Zu dem Zeitpunkt war der Service bereits abgeschaltet, wie dort auch steht. Lilith Wittmann hat also soweit sich das nachvollziehen lässt die Lücke gefunden, verschiedene Behörden und die CDU selbst informiert, danach wurde das abgeschaltet und erst danach erfolgte der Blogpost.

    Lilith Wittmann hatte wohl vorher bereits auf Twitter geschrieben dass sie sich die App anschaut. Es ist denkbar dass dadurch andere Menschen sich die App ebenfalls angeschaut haben und auf die selbe Lücke gestoßen sind.

  8. Re: Klarstellung?

    Autor: stan__lemur 06.08.21 - 23:19

    hab (Golem.de) schrieb:
    --------------------------------------------------------------------------------

    > Lilith Wittmann hat also [...] die Lücke
    > gefunden,

    Welche Lücke? Das war "works as designed" - die API akzeptiert und beantwortet die Abfragen. Dass die App nur ein Subset der möglichen Abfragen generiert, ändert nichts daran, dass public access eingebaut wurde.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Referent Rohdatenaufbereitung (w/m/d) Senior-Cyber-Security-Specia- list
    Gemeinsames Kompetenz- und Dienstleistungszentrum der Polizei, Leipzig
  2. Expertinnen bzw. Experten Qualitätssicherung in der Softwareentwicklung (w/m/d) im Referat ... (m/w/d)
    Statistisches Bundesamt, Wiesbaden
  3. Serviceexperte (m/w/d) IT Identity Management (IDM) & AD
    Dürr IT Service GmbH, Bietigheim-Bissingen
  4. Requirements Engineer (m/w/d)
    Zentrum Bayern Familie und Soziales, München

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 22,49€
  2. 44,99€ (Release 28.10.)
  3. 39,49€


Haben wir etwas übersehen?

E-Mail an news@golem.de


4700S Desktop Kit im Test: AMDs Playstation-5-Platine ist eine vertane Chance
4700S Desktop Kit im Test
AMDs Playstation-5-Platine ist eine vertane Chance

Mit dem 4700S Desktop Kit bietet AMD höchstselbst die Hardware der Playstation 5 für den PC an. Das Board ist aber eine Sache für sich.
Ein Test von Marc Sauter

  1. Raven Ridge Linux-Bootfehler wegen AMDs RAM-Verschlüsselung
  2. Minisforum Elitemini HM90 Mini-PC integriert AMD-Ryzen-CPU auf 15 x 15 cm
  3. 4700S Desktop Kit AMDs Playstation-5-Platine unterstützt Windows 11

Minidisc gegen DCC: Der vergessene Formatkrieg der 90er-Jahre
Minidisc gegen DCC
Der vergessene Formatkrieg der 90er-Jahre

Vor 30 Jahren hat Sony die Minidisc als Nachfolger der Kompaktkassette angekündigt - und Philips die Digital Compact Cassette. Dass sich an diese nur noch Geeks erinnern, hat Gründe.
Von Tobias Költzsch


    Geschäftsethik bei Videospielen: Auf der Suche nach dem Wal
    Geschäftsethik bei Videospielen
    Auf der Suche nach dem Wal

    Das Geschäftsmodell von aktuellen Free-to-Play-Games nimmt das Risiko in Kauf, dass Menschen von Spielen abhängig werden. Eigentlich basiert es sogar darauf.
    Von Evan Armstrong

    1. Free-to-Play Kostenlose Spiele für fast alle Plattformen