1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Connect-App: CDU zeigt offenbar…

Klarstellung?

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema Ansicht wechseln


  1. Klarstellung?

    Autor: DAASSI 06.08.21 - 11:22

    Ich glaube der Artikel vermischt hier einige Infos um ein gewisses Bild zu erzeugen.

    Wenn ich recht informiert bin, dann wurde der guten Frau angeboten für die CDU Sicherheitslücken zu entdecken (gegen Geld). Das hat sie abgelehnt!
    Effektiv wäre das ein BugBounty gewesen.

    Allerdings hat die gute Frau durch die Veröffentlichung (scheinbar ohne richtige Frist) dafür gesorgt, dass Daten abgegriffen wurden. Das ist ein klarer Verstoß gegen "Responsible Disclosure".

    Da muss man doch sagen, da liegt der Verdacht nahe, dass erst durch die Veröffentlichung der Sicherheitslücke eine Straftat "angeleiert" wurde, bzw. es halt andere zu einer Straftat verleitet hat.

    Von daher halt ich es für legitim, durch die Polizei prüfen zu lassen. Ziel der "Anzeige" ist ja ein Ermittlungsverfahren, nicht die gute Frau schlecht zu machen.

    Für mich persönlich klingt die ganze Geschichte übrigens danach, dass die Frau explizit etwas gesucht hat um die CDU anzugreifen, sonst hätte sie das Jobangebot angenommen. Kann mir kaum vorstellen, dass die CDU ihr nur "ein paar Euros" geboten hat.

    Im Twitterprofil lässt es sich ja ablesen: Krawallinfluencerin, irgendwas mit Digitalisierung & gegen Kapitalismus; politisch hier



    2 mal bearbeitet, zuletzt am 06.08.21 11:39 durch DAASSI.

  2. Re: Klarstellung?

    Autor: Benutztername12345 06.08.21 - 12:21

    DAASSI schrieb:
    --------------------------------------------------------------------------------
    > Ich glaube der Artikel vermischt hier einige Infos um ein gewisses Bild zu
    > erzeugen.
    >
    > Wenn ich recht informiert bin, dann wurde der guten Frau angeboten für die
    > CDU Sicherheitslücken zu entdecken (gegen Geld). Das hat sie abgelehnt!
    > Effektiv wäre das ein BugBounty gewesen.
    >
    > Allerdings hat die gute Frau durch die Veröffentlichung (scheinbar ohne
    > richtige Frist)

    Quelle?

  3. Re: Klarstellung?

    Autor: FerdiGro 06.08.21 - 12:29

    DAASSI schrieb:
    --------------------------------------------------------------------------------
    > Ich glaube der Artikel vermischt hier einige Infos um ein gewisses Bild zu
    > erzeugen.
    >
    > Wenn ich recht informiert bin, dann wurde der guten Frau angeboten für die
    > CDU Sicherheitslücken zu entdecken (gegen Geld). Das hat sie abgelehnt!
    > Effektiv wäre das ein BugBounty gewesen.
    >
    > Allerdings hat die gute Frau durch die Veröffentlichung (scheinbar ohne
    > richtige Frist) dafür gesorgt, dass Daten abgegriffen wurden. Das ist ein
    > klarer Verstoß gegen "Responsible Disclosure".
    >
    > Da muss man doch sagen, da liegt der Verdacht nahe, dass erst durch die
    > Veröffentlichung der Sicherheitslücke eine Straftat "angeleiert" wurde,
    > bzw. es halt andere zu einer Straftat verleitet hat.
    >
    > Von daher halt ich es für legitim, durch die Polizei prüfen zu lassen. Ziel
    > der "Anzeige" ist ja ein Ermittlungsverfahren, nicht die gute Frau schlecht
    > zu machen.
    >
    > Für mich persönlich klingt die ganze Geschichte übrigens danach, dass die
    > Frau explizit etwas gesucht hat um die CDU anzugreifen, sonst hätte sie das
    > Jobangebot angenommen. Kann mir kaum vorstellen, dass die CDU ihr nur "ein
    > paar Euros" geboten hat.
    >
    > Im Twitterprofil lässt es sich ja ablesen: Krawallinfluencerin, irgendwas
    > mit Digitalisierung & gegen Kapitalismus; politisch hier

    Wenn es so wäre müsste man die Anzeige, welche laut CDU aus Versehen war, nicht zurückziehen und hatte beweise für ein ordentliches Strafverfahren. Hat man offensichtlich aber nicht.

    Welche Geschichte stimmt also wohl eher? Deine oder die in Artikel? Hmmm....

  4. Re: Klarstellung?

    Autor: DAASSI 06.08.21 - 15:05

    Unzählige andere Medien ;) (nein keine "alternativen")

  5. Re: Klarstellung?

    Autor: LusisOrdo 06.08.21 - 15:49

    DAASSI schrieb:
    --------------------------------------------------------------------------------
    > Unzählige andere Medien ;) (nein keine "alternativen")

    Und welche nun genau? Name? Link zum Artikel?
    Die Quellenangabe ist so qualitativ wie Quelle:Internet

  6. Re: Klarstellung?

    Autor: Benutztername12345 06.08.21 - 16:03

    DAASSI schrieb:
    --------------------------------------------------------------------------------
    > Unzählige andere Medien ;) (nein keine "alternativen")
    Dann fällt es dir sicher leicht, eine hier zu nennen.

  7. Re: Klarstellung?

    Autor: hab (Golem.de) 06.08.21 - 18:38

    DAASSI schrieb:
    --------------------------------------------------------------------------------
    > Allerdings hat die gute Frau durch die Veröffentlichung (scheinbar ohne
    > richtige Frist) dafür gesorgt, dass Daten abgegriffen wurden. Das ist ein
    > klarer Verstoß gegen "Responsible Disclosure".

    Das stimmt so von der Reihenfolge nicht.
    Die Veröffentlichung der Sicherheitslücke erfolgte durch diesen Blogpost:
    https://lilithwittmann.medium.com/wenn-die-cdu-ihren-wahlkampf-digitalisiert-a3e9a0398b4d

    Zu dem Zeitpunkt war der Service bereits abgeschaltet, wie dort auch steht. Lilith Wittmann hat also soweit sich das nachvollziehen lässt die Lücke gefunden, verschiedene Behörden und die CDU selbst informiert, danach wurde das abgeschaltet und erst danach erfolgte der Blogpost.

    Lilith Wittmann hatte wohl vorher bereits auf Twitter geschrieben dass sie sich die App anschaut. Es ist denkbar dass dadurch andere Menschen sich die App ebenfalls angeschaut haben und auf die selbe Lücke gestoßen sind.

  8. Re: Klarstellung?

    Autor: stan__lemur 06.08.21 - 23:19

    hab (Golem.de) schrieb:
    --------------------------------------------------------------------------------

    > Lilith Wittmann hat also [...] die Lücke
    > gefunden,

    Welche Lücke? Das war "works as designed" - die API akzeptiert und beantwortet die Abfragen. Dass die App nur ein Subset der möglichen Abfragen generiert, ändert nichts daran, dass public access eingebaut wurde.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Specialist Regulatory/IAM (m/w/d)
    ERGO Group AG, Düsseldorf
  2. Referent (m/w/d) für die Digitale Transformation im Bereich der Staatsbauverwaltung
    Bayerisches Staatsministerium für Wohnen, Bau und Verkehr, München, Augsburg
  3. Sachbearbeiter*in IT- und Datensicherheit (m/w/d)
    Landeshauptstadt Stuttgart, Stuttgart
  4. IT Application Manager (m/w/x) POS Software / Kassensysteme
    ALDI SÜD Dienstleistungs-SE & Co. oHG, Mülheim

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 75€ (Bestpreis)
  2. (u.a. Men of War Collector's Pack für 6,99€, Deliver Us To The Moon für 11,99€)
  3. 128,07€ (Bestpreis) bei Mindfactory


Haben wir etwas übersehen?

E-Mail an news@golem.de


Dataport: Die Arbeit wird uns nicht so schnell ausgehen
Dataport
"Die Arbeit wird uns nicht so schnell ausgehen"

Ein Job mit Zukunft und Sinnhaftigkeit, sicherer Bezahlung und verlässlichen Arbeitsbedingungen - so hat es Dataport zum Top-IT-Arbeitgeber geschafft.
Von Sebastian Grüner

  1. Arbeiten bei SAP Nur die Gassi-App geht grad nicht
  2. Merck Von der Apotheke zum zweitbesten IT-Arbeitgeber

Rainbow Six Extraction im Test: Elitesoldaten gegen Ekelmonster
Rainbow Six Extraction im Test
Elitesoldaten gegen Ekelmonster

Bis zu drei Soldaten im Kampf gegen Außerirdische: Rainbow Six Extraction bietet taktisch anspruchsvolle Einsätze statt wilder Action.
Ein Test von Peter Steinlechner

  1. Extraction Rainbow Six und der Kampf gegen Außerirdische

Ransomware: Jeder hat Daten, die eine Erpressung wert sind
Ransomware
Jeder hat Daten, die eine Erpressung wert sind

Unbenutzbare Systeme, verlorene Daten und Schaden in Millionenhöhe: Wie ich einen Emotet-Angriff erlebt habe.
Ein Erfahrungsbericht von Lutz Olav Däumling

  1. Malware Ransomware-Angriff auf Unfallkasse Thüringen
  2. Ransomware IT-Schäden in Schwerin sollen bis April behoben sein
  3. Ransomware Russland nimmt Revil-Mitglieder fest