1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Connect-App: CDU zeigt offenbar…

Klarstellung?

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema Ansicht wechseln


  1. Klarstellung?

    Autor: DAASSI 06.08.21 - 11:22

    Ich glaube der Artikel vermischt hier einige Infos um ein gewisses Bild zu erzeugen.

    Wenn ich recht informiert bin, dann wurde der guten Frau angeboten für die CDU Sicherheitslücken zu entdecken (gegen Geld). Das hat sie abgelehnt!
    Effektiv wäre das ein BugBounty gewesen.

    Allerdings hat die gute Frau durch die Veröffentlichung (scheinbar ohne richtige Frist) dafür gesorgt, dass Daten abgegriffen wurden. Das ist ein klarer Verstoß gegen "Responsible Disclosure".

    Da muss man doch sagen, da liegt der Verdacht nahe, dass erst durch die Veröffentlichung der Sicherheitslücke eine Straftat "angeleiert" wurde, bzw. es halt andere zu einer Straftat verleitet hat.

    Von daher halt ich es für legitim, durch die Polizei prüfen zu lassen. Ziel der "Anzeige" ist ja ein Ermittlungsverfahren, nicht die gute Frau schlecht zu machen.

    Für mich persönlich klingt die ganze Geschichte übrigens danach, dass die Frau explizit etwas gesucht hat um die CDU anzugreifen, sonst hätte sie das Jobangebot angenommen. Kann mir kaum vorstellen, dass die CDU ihr nur "ein paar Euros" geboten hat.

    Im Twitterprofil lässt es sich ja ablesen: Krawallinfluencerin, irgendwas mit Digitalisierung & gegen Kapitalismus; politisch hier



    2 mal bearbeitet, zuletzt am 06.08.21 11:39 durch DAASSI.

  2. Re: Klarstellung?

    Autor: Benutztername12345 06.08.21 - 12:21

    DAASSI schrieb:
    --------------------------------------------------------------------------------
    > Ich glaube der Artikel vermischt hier einige Infos um ein gewisses Bild zu
    > erzeugen.
    >
    > Wenn ich recht informiert bin, dann wurde der guten Frau angeboten für die
    > CDU Sicherheitslücken zu entdecken (gegen Geld). Das hat sie abgelehnt!
    > Effektiv wäre das ein BugBounty gewesen.
    >
    > Allerdings hat die gute Frau durch die Veröffentlichung (scheinbar ohne
    > richtige Frist)

    Quelle?

  3. Re: Klarstellung?

    Autor: FerdiGro 06.08.21 - 12:29

    DAASSI schrieb:
    --------------------------------------------------------------------------------
    > Ich glaube der Artikel vermischt hier einige Infos um ein gewisses Bild zu
    > erzeugen.
    >
    > Wenn ich recht informiert bin, dann wurde der guten Frau angeboten für die
    > CDU Sicherheitslücken zu entdecken (gegen Geld). Das hat sie abgelehnt!
    > Effektiv wäre das ein BugBounty gewesen.
    >
    > Allerdings hat die gute Frau durch die Veröffentlichung (scheinbar ohne
    > richtige Frist) dafür gesorgt, dass Daten abgegriffen wurden. Das ist ein
    > klarer Verstoß gegen "Responsible Disclosure".
    >
    > Da muss man doch sagen, da liegt der Verdacht nahe, dass erst durch die
    > Veröffentlichung der Sicherheitslücke eine Straftat "angeleiert" wurde,
    > bzw. es halt andere zu einer Straftat verleitet hat.
    >
    > Von daher halt ich es für legitim, durch die Polizei prüfen zu lassen. Ziel
    > der "Anzeige" ist ja ein Ermittlungsverfahren, nicht die gute Frau schlecht
    > zu machen.
    >
    > Für mich persönlich klingt die ganze Geschichte übrigens danach, dass die
    > Frau explizit etwas gesucht hat um die CDU anzugreifen, sonst hätte sie das
    > Jobangebot angenommen. Kann mir kaum vorstellen, dass die CDU ihr nur "ein
    > paar Euros" geboten hat.
    >
    > Im Twitterprofil lässt es sich ja ablesen: Krawallinfluencerin, irgendwas
    > mit Digitalisierung & gegen Kapitalismus; politisch hier

    Wenn es so wäre müsste man die Anzeige, welche laut CDU aus Versehen war, nicht zurückziehen und hatte beweise für ein ordentliches Strafverfahren. Hat man offensichtlich aber nicht.

    Welche Geschichte stimmt also wohl eher? Deine oder die in Artikel? Hmmm....

  4. Re: Klarstellung?

    Autor: DAASSI 06.08.21 - 15:05

    Unzählige andere Medien ;) (nein keine "alternativen")

  5. Re: Klarstellung?

    Autor: LusisOrdo 06.08.21 - 15:49

    DAASSI schrieb:
    --------------------------------------------------------------------------------
    > Unzählige andere Medien ;) (nein keine "alternativen")

    Und welche nun genau? Name? Link zum Artikel?
    Die Quellenangabe ist so qualitativ wie Quelle:Internet

  6. Re: Klarstellung?

    Autor: Benutztername12345 06.08.21 - 16:03

    DAASSI schrieb:
    --------------------------------------------------------------------------------
    > Unzählige andere Medien ;) (nein keine "alternativen")
    Dann fällt es dir sicher leicht, eine hier zu nennen.

  7. Re: Klarstellung?

    Autor: hab (Golem.de) 06.08.21 - 18:38

    DAASSI schrieb:
    --------------------------------------------------------------------------------
    > Allerdings hat die gute Frau durch die Veröffentlichung (scheinbar ohne
    > richtige Frist) dafür gesorgt, dass Daten abgegriffen wurden. Das ist ein
    > klarer Verstoß gegen "Responsible Disclosure".

    Das stimmt so von der Reihenfolge nicht.
    Die Veröffentlichung der Sicherheitslücke erfolgte durch diesen Blogpost:
    https://lilithwittmann.medium.com/wenn-die-cdu-ihren-wahlkampf-digitalisiert-a3e9a0398b4d

    Zu dem Zeitpunkt war der Service bereits abgeschaltet, wie dort auch steht. Lilith Wittmann hat also soweit sich das nachvollziehen lässt die Lücke gefunden, verschiedene Behörden und die CDU selbst informiert, danach wurde das abgeschaltet und erst danach erfolgte der Blogpost.

    Lilith Wittmann hatte wohl vorher bereits auf Twitter geschrieben dass sie sich die App anschaut. Es ist denkbar dass dadurch andere Menschen sich die App ebenfalls angeschaut haben und auf die selbe Lücke gestoßen sind.

  8. Re: Klarstellung?

    Autor: stan__lemur 06.08.21 - 23:19

    hab (Golem.de) schrieb:
    --------------------------------------------------------------------------------

    > Lilith Wittmann hat also [...] die Lücke
    > gefunden,

    Welche Lücke? Das war "works as designed" - die API akzeptiert und beantwortet die Abfragen. Dass die App nur ein Subset der möglichen Abfragen generiert, ändert nichts daran, dass public access eingebaut wurde.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. IT-Generalist (m/w/d)
    SaluVet GmbH, Bad Waldsee
  2. IT-Sicherheitsadministrator (m/w/d)
    Mainova AG, Frankfurt am Main
  3. (Junior-) Referent (m/w/d) für das Anwendungsmanagement im Team IT-Management und Services
    Taunus Sparkasse, Bad Homburg vor der Höhe
  4. DevOps Engineer (m/w/d) Testautomation Platform
    ING Deutschland, Frankfurt, Nürnberg

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 94,90€ (Bestpreis)
  2. 299,87€ (Bestpreis) bei Mindfactory
  3. 129,99€ (Release 25. März)
  4. 2.599€ bei Mindfactory


Haben wir etwas übersehen?

E-Mail an news@golem.de


Kosmologie: Die Raumzeit ist kein Gummituch!
Kosmologie
Die Raumzeit ist kein Gummituch!

Warum das beliebte Modell von den Kugeln im Gummituch in die Irre führt - und wie man es retten kann.
Von Helmut Linde

  1. Indische Regierung Wir haben noch "kein 5G-Netz, was Corona verursachen könnte"

Cyberwar: Was steckt hinter dem Cyberangriff auf die Ukraine?
Cyberwar
Was steckt hinter dem Cyberangriff auf die Ukraine?

Die Computersysteme ukrainischer Regierungsstellen sind angegriffen worden. Ist das nur ein alltäglicher Cyberangriff? Oder steckt mehr dahinter?
Eine Analyse von Werner Pluta

  1. USA Biden sieht Gefahr eines Kriegs als Folge von Cyberangriffen

Aufbauspiel Angespielt: Die Siedler gewinnen Land mit Ingenieuren
Aufbauspiel Angespielt
Die Siedler gewinnen Land mit Ingenieuren

Nun geht es ganz schnell bei Die Siedler: Beta im Januar, Veröffentlichung im März 2022. Golem.de konnte das Aufbauspiel schon ausprobieren.
Von Peter Steinlechner

  1. Ubisoft Blue Byte Im Januar 2022 wuselt das neue Die Siedler weiter

  1. Netzneutralität: Google und Meta verteidigen sich gegen Telekom-Vorwürfe
    Netzneutralität
    Google und Meta verteidigen sich gegen Telekom-Vorwürfe

    Die beiden großen Internetkonzerne Google und Meta verweisen im Gespräch mit Golem.de auf ihren Beitrag zur weltweiten Infrastruktur wie Seekabel und Connectivity.

  2. Klimaschutz: Schiffe könnten sauber fahren
    Klimaschutz
    Schiffe könnten sauber fahren

    Eine Studie zeigt, dass sich die Schadstoffemissionen von Schiffen stark reduzieren lassen können. Allerdings würden Schiffstransporte dadurch signifikant teurer.

  3. Fernwartung: Der Kundenansturm, der Teamviewer nicht gut getan hat
    Fernwartung
    Der Kundenansturm, der Teamviewer nicht gut getan hat

    Wie schätzt man die weitere Geschäftsentwicklung ein, wenn die Kunden in der Pandemie plötzlich Panikkäufe machen? Das gelang bei Teamviewer nicht.


  1. 19:03

  2. 18:22

  3. 18:06

  4. 16:45

  5. 16:29

  6. 15:18

  7. 14:57

  8. 14:39