1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Connect-App: CDU zeigt offenbar…

Klarstellung?

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema Ansicht wechseln


  1. Klarstellung?

    Autor: DAASSI 06.08.21 - 11:22

    Ich glaube der Artikel vermischt hier einige Infos um ein gewisses Bild zu erzeugen.

    Wenn ich recht informiert bin, dann wurde der guten Frau angeboten für die CDU Sicherheitslücken zu entdecken (gegen Geld). Das hat sie abgelehnt!
    Effektiv wäre das ein BugBounty gewesen.

    Allerdings hat die gute Frau durch die Veröffentlichung (scheinbar ohne richtige Frist) dafür gesorgt, dass Daten abgegriffen wurden. Das ist ein klarer Verstoß gegen "Responsible Disclosure".

    Da muss man doch sagen, da liegt der Verdacht nahe, dass erst durch die Veröffentlichung der Sicherheitslücke eine Straftat "angeleiert" wurde, bzw. es halt andere zu einer Straftat verleitet hat.

    Von daher halt ich es für legitim, durch die Polizei prüfen zu lassen. Ziel der "Anzeige" ist ja ein Ermittlungsverfahren, nicht die gute Frau schlecht zu machen.

    Für mich persönlich klingt die ganze Geschichte übrigens danach, dass die Frau explizit etwas gesucht hat um die CDU anzugreifen, sonst hätte sie das Jobangebot angenommen. Kann mir kaum vorstellen, dass die CDU ihr nur "ein paar Euros" geboten hat.

    Im Twitterprofil lässt es sich ja ablesen: Krawallinfluencerin, irgendwas mit Digitalisierung & gegen Kapitalismus; politisch hier



    2 mal bearbeitet, zuletzt am 06.08.21 11:39 durch DAASSI.

  2. Re: Klarstellung?

    Autor: Benutztername12345 06.08.21 - 12:21

    DAASSI schrieb:
    --------------------------------------------------------------------------------
    > Ich glaube der Artikel vermischt hier einige Infos um ein gewisses Bild zu
    > erzeugen.
    >
    > Wenn ich recht informiert bin, dann wurde der guten Frau angeboten für die
    > CDU Sicherheitslücken zu entdecken (gegen Geld). Das hat sie abgelehnt!
    > Effektiv wäre das ein BugBounty gewesen.
    >
    > Allerdings hat die gute Frau durch die Veröffentlichung (scheinbar ohne
    > richtige Frist)

    Quelle?

  3. Re: Klarstellung?

    Autor: FerdiGro 06.08.21 - 12:29

    DAASSI schrieb:
    --------------------------------------------------------------------------------
    > Ich glaube der Artikel vermischt hier einige Infos um ein gewisses Bild zu
    > erzeugen.
    >
    > Wenn ich recht informiert bin, dann wurde der guten Frau angeboten für die
    > CDU Sicherheitslücken zu entdecken (gegen Geld). Das hat sie abgelehnt!
    > Effektiv wäre das ein BugBounty gewesen.
    >
    > Allerdings hat die gute Frau durch die Veröffentlichung (scheinbar ohne
    > richtige Frist) dafür gesorgt, dass Daten abgegriffen wurden. Das ist ein
    > klarer Verstoß gegen "Responsible Disclosure".
    >
    > Da muss man doch sagen, da liegt der Verdacht nahe, dass erst durch die
    > Veröffentlichung der Sicherheitslücke eine Straftat "angeleiert" wurde,
    > bzw. es halt andere zu einer Straftat verleitet hat.
    >
    > Von daher halt ich es für legitim, durch die Polizei prüfen zu lassen. Ziel
    > der "Anzeige" ist ja ein Ermittlungsverfahren, nicht die gute Frau schlecht
    > zu machen.
    >
    > Für mich persönlich klingt die ganze Geschichte übrigens danach, dass die
    > Frau explizit etwas gesucht hat um die CDU anzugreifen, sonst hätte sie das
    > Jobangebot angenommen. Kann mir kaum vorstellen, dass die CDU ihr nur "ein
    > paar Euros" geboten hat.
    >
    > Im Twitterprofil lässt es sich ja ablesen: Krawallinfluencerin, irgendwas
    > mit Digitalisierung & gegen Kapitalismus; politisch hier

    Wenn es so wäre müsste man die Anzeige, welche laut CDU aus Versehen war, nicht zurückziehen und hatte beweise für ein ordentliches Strafverfahren. Hat man offensichtlich aber nicht.

    Welche Geschichte stimmt also wohl eher? Deine oder die in Artikel? Hmmm....

  4. Re: Klarstellung?

    Autor: DAASSI 06.08.21 - 15:05

    Unzählige andere Medien ;) (nein keine "alternativen")

  5. Re: Klarstellung?

    Autor: LusisOrdo 06.08.21 - 15:49

    DAASSI schrieb:
    --------------------------------------------------------------------------------
    > Unzählige andere Medien ;) (nein keine "alternativen")

    Und welche nun genau? Name? Link zum Artikel?
    Die Quellenangabe ist so qualitativ wie Quelle:Internet

  6. Re: Klarstellung?

    Autor: Benutztername12345 06.08.21 - 16:03

    DAASSI schrieb:
    --------------------------------------------------------------------------------
    > Unzählige andere Medien ;) (nein keine "alternativen")
    Dann fällt es dir sicher leicht, eine hier zu nennen.

  7. Re: Klarstellung?

    Autor: hab (Golem.de) 06.08.21 - 18:38

    DAASSI schrieb:
    --------------------------------------------------------------------------------
    > Allerdings hat die gute Frau durch die Veröffentlichung (scheinbar ohne
    > richtige Frist) dafür gesorgt, dass Daten abgegriffen wurden. Das ist ein
    > klarer Verstoß gegen "Responsible Disclosure".

    Das stimmt so von der Reihenfolge nicht.
    Die Veröffentlichung der Sicherheitslücke erfolgte durch diesen Blogpost:
    https://lilithwittmann.medium.com/wenn-die-cdu-ihren-wahlkampf-digitalisiert-a3e9a0398b4d

    Zu dem Zeitpunkt war der Service bereits abgeschaltet, wie dort auch steht. Lilith Wittmann hat also soweit sich das nachvollziehen lässt die Lücke gefunden, verschiedene Behörden und die CDU selbst informiert, danach wurde das abgeschaltet und erst danach erfolgte der Blogpost.

    Lilith Wittmann hatte wohl vorher bereits auf Twitter geschrieben dass sie sich die App anschaut. Es ist denkbar dass dadurch andere Menschen sich die App ebenfalls angeschaut haben und auf die selbe Lücke gestoßen sind.

  8. Re: Klarstellung?

    Autor: stan__lemur 06.08.21 - 23:19

    hab (Golem.de) schrieb:
    --------------------------------------------------------------------------------

    > Lilith Wittmann hat also [...] die Lücke
    > gefunden,

    Welche Lücke? Das war "works as designed" - die API akzeptiert und beantwortet die Abfragen. Dass die App nur ein Subset der möglichen Abfragen generiert, ändert nichts daran, dass public access eingebaut wurde.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Softwareentwickler / Programmierer (m/w/d)
    Prinzing Pfeiffer GmbH, Blaubeuren
  2. IT Support and infrastructure specialist (m/w/d)
    Ludwig Frischhut GmbH & Co. KG, Pfarrkirchen
  3. Anwendungsentwickler im Bereich .NET / #C
    Solarlux GmbH, Melle
  4. Hardware Product Manager (m/w/d) Telematics Hardware
    MECOMO AG, Unterschleißheim bei München

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. MacBook Pro 14,2 Zoll M1 Pro 16GB 512GB SSD 14-Core-GPU für 2.249 Euro - Liefertermin "04...
  2. (u. a. Samsung Q80A (2021) 50 Zoll QLED für 749€)
  3. (u. a. Samsung U32R592CWU 32 Zoll Curved für 349€, Samsung U28R552UQU 28 Zoll für 249€)
  4. 549,90€


Haben wir etwas übersehen?

E-Mail an news@golem.de