1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Connect-App: CDU zeigt offenbar…

War die Aktion der Frau rechtens?

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. War die Aktion der Frau rechtens?

    Autor: NotReallyMe 04.08.21 - 15:33

    Es ist gut das gerichtlich klären zu lassen. Woher bezog die Frau das Recht sich den Zugriff auf die fraglichen Daten zu verschaffen? Anders sähe es aus, wenn die CDU sie mit einer Prüfung beauftragt hätte. Wer hat das Recht auf derartige Aktionen?

    Analogie aus dem richtigen Leben: Ich schließe meine Wohnungstür nicht ab. Jemand betritt dann ohne meine Erlaubnis meine Wohnung und wo er gerade drin ist schaut er was er sonst noch so alles sehen oder machen kann. Das geht gar nicht und das würde ich zur Anzeige bringen. Selbst wenn meine Wohnungstür sperrangelweit offen stehen würde ist ohne meine Erlaubnis an der Schwelle Schluss.



    1 mal bearbeitet, zuletzt am 04.08.21 15:34 durch NotReallyMe.

  2. Re: War die Aktion der Frau rechtens?

    Autor: d-mark 04.08.21 - 15:41

    Der Server der CxU steht im Internet und ist für jeden erreichbar. So wie ich das verstanden habe waren die zu überwindenden "Sperren" nicht wirklich hoch. Was sollte daran "Einbruch" sein?

    Um bei Deinem Haus zu bleiben: Jemandem fällt eine Sicherheitslücke an Deiner Eingangstür auf. Die Person sagt Dir Bescheid und ist für Dich damit ein Einbrecher? Na danke. Am besten postest Du Deine Anschrift, dass niemand Dich versehentlich bei Problemen informiert.

  3. Re: War die Aktion der Frau rechtens?

    Autor: Eheran 04.08.21 - 15:42

    >Analogie aus dem richtigen Leben
    Das ist keine Analogie, da dein Beispiel nicht vergleichbar ist.

    Korrigiert:
    Jemand sieht, dass deine Wohnungstür offen ist. Die Person informiert dich. Du zeigst die Person an.

    >Woher bezog die Frau das Recht sich den Zugriff auf die fraglichen Daten zu verschaffen?
    Welche Daten meinst du denn?

  4. Re: War die Aktion der Frau rechtens?

    Autor: Drohnald 04.08.21 - 15:44

    Bessere Analogie: Ein Bekannter sagt "Bei NotReallyMe" sind die Fenster immer nur angelehnt.
    ich gehe also zu dir in den Garten und drücke das Fenster auf. Stelle fest: Ja, das ist wirklich so.
    Das Fenster mach ich wieder genau so zu wie du es hattest.

    Daraufhin suche ich dich im Telefonbuch und rufe an "Hey ich habe gesehen deine Fenster sind nur angelehnt, da kann jeder ja einfach reingehen und was stehlen".

    Deine Reaktion ist: "Ich zeig dich wegen Hausfriedensbruch an, denn du bist in meinen Garten!"

  5. Re: War die Aktion der Frau rechtens?

    Autor: NotReallyMe 04.08.21 - 15:52

    d-mark schrieb:
    --------------------------------------------------------------------------------
    > Der Server der CxU steht im Internet und ist für jeden erreichbar. So wie
    > ich das verstanden habe waren die zu überwindenden "Sperren" nicht wirklich
    > hoch. Was sollte daran "Einbruch" sein?

    Es spielt keine Rolle wie groß die Hürde ist, solange es eine gibt. Was berechtigt diese Frau, oder Dich oder mich diese zu überwinden und sich Zugriff auf Daten zu verschaffen, die uns nichts angehen?

    >
    > Um bei Deinem Haus zu bleiben: Jemandem fällt eine Sicherheitslücke an
    > Deiner Eingangstür auf. Die Person sagt Dir Bescheid und ist für Dich damit
    > ein Einbrecher? Na danke. Am besten postest Du Deine Anschrift, dass
    > niemand Dich versehentlich bei Problemen informiert.

    Ne da hast Du nicht richtig gelesen: Wenn meine Tür offensichtlich offen steht kann man mir das sagen. Was man nicht machen darf ist auszuprobieren ob sie offen steht und um beim konkreten Fall zu bleiben in meine Wohnung zu gehen und zu schauen ob sonst noch was offen steht. Oder möchtest Du dass das jemand bei Deiner Wohnung versucht?

  6. Re: War die Aktion der Frau rechtens?

    Autor: theFiend 04.08.21 - 15:54

    d-mark schrieb:
    --------------------------------------------------------------------------------
    > Der Server der CxU steht im Internet und ist für jeden erreichbar. So wie
    > ich das verstanden habe waren die zu überwindenden "Sperren" nicht wirklich
    > hoch. Was sollte daran "Einbruch" sein?

    Es ist noch viel simpler, die Frau hat einen Proxi eingerichtet, und darüber nachgeschaut welche Datensätze abgefragt und transportiert werden. Daran könnte ich nix illegales erkennen.

    Übrigens wäre das auch super simpel nachzulesen, wenn man sich wirklich damit beschäftigt hätte, statt irgendeinen quatsch zu unterstellen lieber TO

  7. Re: War die Aktion der Frau rechtens?

    Autor: Dino13 04.08.21 - 15:54

    NotReallyMe schrieb:
    --------------------------------------------------------------------------------
    > d-mark schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Der Server der CxU steht im Internet und ist für jeden erreichbar. So
    > wie
    > > ich das verstanden habe waren die zu überwindenden "Sperren" nicht
    > wirklich
    > > hoch. Was sollte daran "Einbruch" sein?
    >
    > Es spielt keine Rolle wie groß die Hürde ist, solange es eine gibt. Was
    > berechtigt diese Frau, oder Dich oder mich diese zu überwinden und sich
    > Zugriff auf Daten zu verschaffen, die uns nichts angehen?
    >
    > >
    > > Um bei Deinem Haus zu bleiben: Jemandem fällt eine Sicherheitslücke an
    > > Deiner Eingangstür auf. Die Person sagt Dir Bescheid und ist für Dich
    > damit
    > > ein Einbrecher? Na danke. Am besten postest Du Deine Anschrift, dass
    > > niemand Dich versehentlich bei Problemen informiert.
    >
    > Ne da hast Du nicht richtig gelesen: Wenn meine Tür offensichtlich offen
    > steht kann man mir das sagen. Was man nicht machen darf ist auszuprobieren
    > ob sie offen steht und um beim konkreten Fall zu bleiben in meine Wohnung
    > zu gehen und zu schauen ob sonst noch was offen steht. Oder möchtest Du
    > dass das jemand bei Deiner Wohnung versucht?

    Warum verwendest du eine Analogie für das Vorgehen der Forscherin, wenn du nicht einmal weißt, was sie genau gemacht und nicht gemacht hat? Was ist der Sinn dahinter?

  8. Re: War die Aktion der Frau rechtens?

    Autor: Alessey 04.08.21 - 16:02

    Eheran schrieb:
    --------------------------------------------------------------------------------
    > >Analogie aus dem richtigen Leben
    > Das ist keine Analogie, da dein Beispiel nicht vergleichbar ist.
    >
    > Korrigiert:
    > Jemand sieht, dass deine Wohnungstür offen ist. Die Person informiert dich.
    > Du zeigst die Person an.
    >
    > >Woher bezog die Frau das Recht sich den Zugriff auf die fraglichen Daten
    > zu verschaffen?
    > Welche Daten meinst du denn?
    Zitat aus dem Link im Artikel:
    "Außerdem konnte ich in dem Kontext noch eine weitere Sicherheitslücke ausnutzen, die es mir ermöglicht hat, auf das Admin-Backend der Applikation zuzugreifen, mich dort selbst zum Admin zu machen. Das wiederum erlaubte mir Daten einzusehen, E-Mails zu versenden, … Auf diese Sicherheitslücke wurde ich ursprünglich von Jan-Pieter Kalka hingewiesen, der sich auch bei der CDU Zugang zum Adminpanel verschaffen konnte."

    Ja derjenige ist einmal im Haus rumgelaufen um nachzusehen was denn so alles da ist. Auch hier irgenwie scheiße, jedoch nicht strafbar. Alle Schränke wurden geöffnet (und wieder geschl., sonst wäre Arbeit/schaden entstanden) Auch hier wäre es Fragwürdig, Tür offen oder angelehnt mit nem bindfaden gesichert, macht halt einen Unterschied.
    Der Grund ist, dass so die CDU nur das arme Opfer eines Angriffs in den Augen ihrer Wählerschaft spielen kann.

  9. Re: War die Aktion der Frau rechtens?

    Autor: NotReallyMe 04.08.21 - 16:02

    Drohnald schrieb:
    --------------------------------------------------------------------------------
    > Bessere Analogie: Ein Bekannter sagt "Bei NotReallyMe" sind die Fenster
    > immer nur angelehnt.
    > ich gehe also zu dir in den Garten und drücke das Fenster auf. Stelle fest:
    > Ja, das ist wirklich so.
    > Das Fenster mach ich wieder genau so zu wie du es hattest.

    Du hast weder das Recht ohne meine Erlaubnis in meinen Garten zu gehen noch auszuprobieren was Du da so alles anstellen kannst und ob Du irgendwie in mein Haus kommst und das wie in diesem Fall dann auch tatsächlich zu betreten. Falls Du das anders siehst, woher nimmst Du Dir dieses Recht?

    Richtiges Vorgehen im konkreten Fall: Den Besitzer um Erlaubnis bitten Sicherheitsprüfungen durchführen zu dürfen. Wenn der Besitzer das ablehnt ist die Aktion an dieser Stelle beendet. Wenn man zusätzlich noch wie in diesem Fall konkrete Erfahrungen hat kann man die vermuteten Lücken dem Besitzer auch mitteilen. Was man auf keinen Fall tun darf ist sich wie in diesem Fall tatsächlich (administrativen) Zugriff zu verschaffen, wenn man nicht die Erlaubnis dazu hat.

  10. Re: War die Aktion der Frau rechtens?

    Autor: ovbspawn 04.08.21 - 16:09

    NotReallyMe schrieb:
    --------------------------------------------------------------------------------
    > Drohnald schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Bessere Analogie: Ein Bekannter sagt "Bei NotReallyMe" sind die Fenster
    > > immer nur angelehnt.
    > > ich gehe also zu dir in den Garten und drücke das Fenster auf. Stelle
    > fest:
    > > Ja, das ist wirklich so.
    > > Das Fenster mach ich wieder genau so zu wie du es hattest.
    >
    > Du hast weder das Recht ohne meine Erlaubnis in meinen Garten zu gehen noch
    > auszuprobieren was Du da so alles anstellen kannst und ob Du irgendwie in
    > mein Haus kommst und das wie in diesem Fall dann auch tatsächlich zu
    > betreten. Falls Du das anders siehst, woher nimmst Du Dir dieses Recht?
    >
    > Richtiges Vorgehen im konkreten Fall: Den Besitzer um Erlaubnis bitten
    > Sicherheitsprüfungen durchführen zu dürfen. Wenn der Besitzer das ablehnt
    > ist die Aktion an dieser Stelle beendet. Wenn man zusätzlich noch wie in
    > diesem Fall konkrete Erfahrungen hat kann man die vermuteten Lücken dem
    > Besitzer auch mitteilen. Was man auf keinen Fall tun darf ist sich wie in
    > diesem Fall tatsächlich (administrativen) Zugriff zu verschaffen, wenn man
    > nicht die Erlaubnis dazu hat.


    Wenn man es so macht, dann nur mit Nachbesserungsfrist.
    Wenn die dann abgelaufen ist, gibts eine Anzeige wegen nicht erfolgtem Schutz nach DSGVO.

  11. Re: War die Aktion der Frau rechtens?

    Autor: NaruHina 04.08.21 - 16:13

    Andere Firmen zahlen Geld dafür dass man Sicherheitslücken findet...

    Die CDU verklagt Scheints jeden, sollen die richtigen hakxer sich doch Zugriff verschaffen und das System Richtig misbrachen, gibt ja nicht schon genug Spam schleudern adressdaten und anderwertuge Dinge im Netz zu finden.



    1 mal bearbeitet, zuletzt am 04.08.21 16:23 durch NaruHina.

  12. Falsche Analogie

    Autor: franzropen 04.08.21 - 16:21

    Woran erkennst du dass eine Tür offen steht?
    Daran dass du den Raum dahinter siehst.
    Woran erkennst du dass eine App offen steht?
    Wenn du die Daten dahinter siehst.
    Ohne Datenzugriff kannst du also nicht erkennen, dass die App eine Lücke hat, genausowenig wie du ohne Licht erkennen kannst, dass die Tür offen steht.

  13. Re: War die Aktion der Frau rechtens?

    Autor: KvotheOne 04.08.21 - 16:23

    NotReallyMe schrieb:
    --------------------------------------------------------------------------------
    > Drohnald schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Bessere Analogie: Ein Bekannter sagt "Bei NotReallyMe" sind die Fenster
    > > immer nur angelehnt.
    > > ich gehe also zu dir in den Garten und drücke das Fenster auf. Stelle
    > fest:
    > > Ja, das ist wirklich so.
    > > Das Fenster mach ich wieder genau so zu wie du es hattest.
    >
    > Du hast weder das Recht ohne meine Erlaubnis in meinen Garten zu gehen noch
    > auszuprobieren was Du da so alles anstellen kannst und ob Du irgendwie in
    > mein Haus kommst und das wie in diesem Fall dann auch tatsächlich zu
    > betreten. Falls Du das anders siehst, woher nimmst Du Dir dieses Recht?
    >
    > Richtiges Vorgehen im konkreten Fall: Den Besitzer um Erlaubnis bitten
    > Sicherheitsprüfungen durchführen zu dürfen. Wenn der Besitzer das ablehnt
    > ist die Aktion an dieser Stelle beendet. Wenn man zusätzlich noch wie in
    > diesem Fall konkrete Erfahrungen hat kann man die vermuteten Lücken dem
    > Besitzer auch mitteilen. Was man auf keinen Fall tun darf ist sich wie in
    > diesem Fall tatsächlich (administrativen) Zugriff zu verschaffen, wenn man
    > nicht die Erlaubnis dazu hat.

    Ich würde sagen es ist noch bisschen anders. Dir gehört zwar das Haus aber es haben noch viele andere Leute ihre ganzen Möbel bei dir stehen (Daten von Leuten). Somit haben viele Leute ein Interesse daran, dass das Haus sicher ist! In diesem Fall haben diese Leute (und meiner Meinung nach auch andere) durchaus das Recht zu sehen ob du das Haus ordentlich geschützt hast oder ob da jeder so ohne weiteres reinkommt. Zumindest sollte nicht beim kleinsten Drücken am Fenster dieses auf einmal aufgehen, weil dann hast du absoluten Mist gebaut. Die Tür sollte auch nicht offen stehen.

  14. Re: War die Aktion der Frau rechtens?

    Autor: berritorre 04.08.21 - 16:27

    Du bist also einer, der den Nachbar anzeigt, weil er an deiner Haustür vorbeikommt, sieht, dass sie sperrangelweit offen ist und keiner zu sehen ist. Auf dem Rückweg vom Supermarkt ist nach 1h immer noch die Tür offen. Der Nachbar geht hin und zieht die Tür zu. Du würdest ihn vermutlich anzeigen, den Haderlump!

  15. Re: War die Aktion der Frau rechtens?

    Autor: berritorre 04.08.21 - 16:30

    Nein, bei Leuten die auf nette Hinweise so reagieren wie du ist die richtige Vorgehensweise Leute anzurufen, die deine Wohnungseinrichtung brauchen können.

    Danach machst du sowas nie wieder und wer den Tip gegeben hat wird sowieso nie jemand erfahren. So sollte es doch sein, deiner Meinung nach, oder?

  16. Re: War die Aktion der Frau rechtens?

    Autor: berritorre 04.08.21 - 16:32

    So kommt mir das auch manchmal vor. Leute wollen Fehler einfach ignorieren. Sie denken, solange ich es ignoriere gibt es das auch nicht. Bis dann halt der Falsche die Lücke findet und sie wirklich ausnutzt.

    An statt sich zu bedanken, den Fehler so schnell wie möglich zu beheben verklagt man lieber den Hinweisgeber. Da brauchst du dich nicht zu wundern, wenn die Lücken dann wirklich niemand mehr meldet.

  17. Re: War die Aktion der Frau rechtens?

    Autor: theFiend 04.08.21 - 16:34

    Naja, wie man hier sieht gibt es ja Menschen die das Vorgehen der CDU verstehen, denn schließlich killen sie ja nur zu gerne den Nachrichtenüberbringer, der ist schließlich verantwortlich für die schlechten Nachrichten...

    Es ist kein Wunder das wir beim Thema Digitalisierung nicht vorwärts kommen, denn es ist ja nicht nur die CDU die pennt, es sind auch ihre Wähler...

  18. Re: Falsche Analogie

    Autor: Hotohori 04.08.21 - 16:38

    Eben genau das. Der Unterschied zu Verbrechern ist, dass sie keinerlei Schaden anrichtet. Sie mag zwar die Wohnung sehen, mehr aber auch nicht. Würde sie es nicht melden, hätte Niemand erfahren, dass sie da war. Verbrecher hingegen hätten Daten kopiert und zu ihrem Vorteil ausgenutzt oder eben die Wohnung ausgeräumt oder zumindest irgendwas geklaut, Fotos gemacht um die Bewohnerin mit irgendwas zu erpressen etc.

    Einer Sicherheitsforscherin geht es nur um Sicherheit, um sonst nichts. Und um zu sehen wo Lücken sind, muss sie eben durch diese Lücken gehen. Wenn ich also eine Sicherheitslücke sehe, bei der man Admin Rechte erhalten kann, muss ich auch prüfen ob ich tatsächlich Admin Rechte habe.

    Hier kommt allerdings auch noch dazu, dass behauptet wurde, dass die App keine Personen Bezogenen Daten sammeln würde. Was sich eben nun auch als Lüge herausgestellt hat und noch mal etwas eigenes zu Sicherheitslücken ist.

  19. Re: War die Aktion der Frau rechtens?

    Autor: Garius 04.08.21 - 16:43

    NotReallyMe schrieb:
    --------------------------------------------------------------------------------
    > Du hast weder das Recht ohne meine Erlaubnis in meinen Garten zu gehen noch
    > auszuprobieren was Du da so alles anstellen kannst und ob Du irgendwie in
    > mein Haus kommst und das wie in diesem Fall dann auch tatsächlich zu
    > betreten. Falls Du das anders siehst, woher nimmst Du Dir dieses Recht?
    >
    > Richtiges Vorgehen im konkreten Fall: Den Besitzer um Erlaubnis bitten
    > Sicherheitsprüfungen durchführen zu dürfen. Wenn der Besitzer das ablehnt
    > ist die Aktion an dieser Stelle beendet. Wenn man zusätzlich noch wie in
    > diesem Fall konkrete Erfahrungen hat kann man die vermuteten Lücken dem
    > Besitzer auch mitteilen. Was man auf keinen Fall tun darf ist sich wie in
    > diesem Fall tatsächlich (administrativen) Zugriff zu verschaffen, wenn man
    > nicht die Erlaubnis dazu hat.
    In diesem Falle geht es aber nur semi um Recht haben. In der Vergangenheit war es nun Mal so, dass der CCC so arbeitet und Meldungen diesbezüglich dankend angenommen wurden. Ganz bestimmt auch von der CDU. Ist ja auch verständlich, stelle man sich den Skandal vor, wäre wirklich etwas mit den Datensätzen angestellt worden.

    Daher auch die Reaktion des CCC.

  20. Re: War die Aktion der Frau rechtens?

    Autor: carnival 04.08.21 - 16:56

    Mal die Primärquelle gesichtet?

    https://lilithwittmann.medium.com/wenn-die-cdu-ihren-wahlkampf-digitalisiert-a3e9a0398b4d

    und

    https://lilithwittmann.medium.com/wenn-die-csu-und-die-volkspartei-digitalen-wahlkampf-machen-6d9e245efefc

    und dann bitte die "Analogie" neu bewerten.

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Programmierer / Softwareentwickler (w/m/d)
    Haux-Life-Support GmbH, Karlsbad
  2. IT Client Security (m/w/d)
    Radeberger Gruppe KG, Frankfurt am Main
  3. Requirements Engineer / Anforderungsmanager (w/m/d) - Bildungstransfer
    Albert-Ludwigs-Universität Freiburg, Freiburg im Breisgau
  4. Softwareentwickler / Entwickler OSS (m/w/d)
    M-net Telekommunikations GmbH, München, Augsburg, Nürnberg

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. Creative Sound Blaster Z SE für 64,99€ + 6,99€ Versand und Kingston KC2500 2 TB für...
  2. 71,39€ inkl. Abzug (Vergleichspreis 83,99€)
  3. 211,65€ inkl. Abzug (Vergleichspreis 232,94€)


Haben wir etwas übersehen?

E-Mail an news@golem.de