1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Connect-App: CDU zeigt offenbar…

Klarstellung?

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema


  1. Klarstellung?

    Autor: DAASSI 06.08.21 - 11:22

    Ich glaube der Artikel vermischt hier einige Infos um ein gewisses Bild zu erzeugen.

    Wenn ich recht informiert bin, dann wurde der guten Frau angeboten für die CDU Sicherheitslücken zu entdecken (gegen Geld). Das hat sie abgelehnt!
    Effektiv wäre das ein BugBounty gewesen.

    Allerdings hat die gute Frau durch die Veröffentlichung (scheinbar ohne richtige Frist) dafür gesorgt, dass Daten abgegriffen wurden. Das ist ein klarer Verstoß gegen "Responsible Disclosure".

    Da muss man doch sagen, da liegt der Verdacht nahe, dass erst durch die Veröffentlichung der Sicherheitslücke eine Straftat "angeleiert" wurde, bzw. es halt andere zu einer Straftat verleitet hat.

    Von daher halt ich es für legitim, durch die Polizei prüfen zu lassen. Ziel der "Anzeige" ist ja ein Ermittlungsverfahren, nicht die gute Frau schlecht zu machen.

    Für mich persönlich klingt die ganze Geschichte übrigens danach, dass die Frau explizit etwas gesucht hat um die CDU anzugreifen, sonst hätte sie das Jobangebot angenommen. Kann mir kaum vorstellen, dass die CDU ihr nur "ein paar Euros" geboten hat.

    Im Twitterprofil lässt es sich ja ablesen: Krawallinfluencerin, irgendwas mit Digitalisierung & gegen Kapitalismus; politisch hier



    2 mal bearbeitet, zuletzt am 06.08.21 11:39 durch DAASSI.

  2. Re: Klarstellung?

    Autor: Benutztername12345 06.08.21 - 12:21

    DAASSI schrieb:
    --------------------------------------------------------------------------------
    > Ich glaube der Artikel vermischt hier einige Infos um ein gewisses Bild zu
    > erzeugen.
    >
    > Wenn ich recht informiert bin, dann wurde der guten Frau angeboten für die
    > CDU Sicherheitslücken zu entdecken (gegen Geld). Das hat sie abgelehnt!
    > Effektiv wäre das ein BugBounty gewesen.
    >
    > Allerdings hat die gute Frau durch die Veröffentlichung (scheinbar ohne
    > richtige Frist)

    Quelle?

  3. Re: Klarstellung?

    Autor: FerdiGro 06.08.21 - 12:29

    DAASSI schrieb:
    --------------------------------------------------------------------------------
    > Ich glaube der Artikel vermischt hier einige Infos um ein gewisses Bild zu
    > erzeugen.
    >
    > Wenn ich recht informiert bin, dann wurde der guten Frau angeboten für die
    > CDU Sicherheitslücken zu entdecken (gegen Geld). Das hat sie abgelehnt!
    > Effektiv wäre das ein BugBounty gewesen.
    >
    > Allerdings hat die gute Frau durch die Veröffentlichung (scheinbar ohne
    > richtige Frist) dafür gesorgt, dass Daten abgegriffen wurden. Das ist ein
    > klarer Verstoß gegen "Responsible Disclosure".
    >
    > Da muss man doch sagen, da liegt der Verdacht nahe, dass erst durch die
    > Veröffentlichung der Sicherheitslücke eine Straftat "angeleiert" wurde,
    > bzw. es halt andere zu einer Straftat verleitet hat.
    >
    > Von daher halt ich es für legitim, durch die Polizei prüfen zu lassen. Ziel
    > der "Anzeige" ist ja ein Ermittlungsverfahren, nicht die gute Frau schlecht
    > zu machen.
    >
    > Für mich persönlich klingt die ganze Geschichte übrigens danach, dass die
    > Frau explizit etwas gesucht hat um die CDU anzugreifen, sonst hätte sie das
    > Jobangebot angenommen. Kann mir kaum vorstellen, dass die CDU ihr nur "ein
    > paar Euros" geboten hat.
    >
    > Im Twitterprofil lässt es sich ja ablesen: Krawallinfluencerin, irgendwas
    > mit Digitalisierung & gegen Kapitalismus; politisch hier

    Wenn es so wäre müsste man die Anzeige, welche laut CDU aus Versehen war, nicht zurückziehen und hatte beweise für ein ordentliches Strafverfahren. Hat man offensichtlich aber nicht.

    Welche Geschichte stimmt also wohl eher? Deine oder die in Artikel? Hmmm....

  4. Re: Klarstellung?

    Autor: DAASSI 06.08.21 - 15:05

    Unzählige andere Medien ;) (nein keine "alternativen")

  5. Re: Klarstellung?

    Autor: LusisOrdo 06.08.21 - 15:49

    DAASSI schrieb:
    --------------------------------------------------------------------------------
    > Unzählige andere Medien ;) (nein keine "alternativen")

    Und welche nun genau? Name? Link zum Artikel?
    Die Quellenangabe ist so qualitativ wie Quelle:Internet

  6. Re: Klarstellung?

    Autor: Benutztername12345 06.08.21 - 16:03

    DAASSI schrieb:
    --------------------------------------------------------------------------------
    > Unzählige andere Medien ;) (nein keine "alternativen")
    Dann fällt es dir sicher leicht, eine hier zu nennen.

  7. Re: Klarstellung?

    Autor: hab (Golem.de) 06.08.21 - 18:38

    DAASSI schrieb:
    --------------------------------------------------------------------------------
    > Allerdings hat die gute Frau durch die Veröffentlichung (scheinbar ohne
    > richtige Frist) dafür gesorgt, dass Daten abgegriffen wurden. Das ist ein
    > klarer Verstoß gegen "Responsible Disclosure".

    Das stimmt so von der Reihenfolge nicht.
    Die Veröffentlichung der Sicherheitslücke erfolgte durch diesen Blogpost:
    https://lilithwittmann.medium.com/wenn-die-cdu-ihren-wahlkampf-digitalisiert-a3e9a0398b4d

    Zu dem Zeitpunkt war der Service bereits abgeschaltet, wie dort auch steht. Lilith Wittmann hat also soweit sich das nachvollziehen lässt die Lücke gefunden, verschiedene Behörden und die CDU selbst informiert, danach wurde das abgeschaltet und erst danach erfolgte der Blogpost.

    Lilith Wittmann hatte wohl vorher bereits auf Twitter geschrieben dass sie sich die App anschaut. Es ist denkbar dass dadurch andere Menschen sich die App ebenfalls angeschaut haben und auf die selbe Lücke gestoßen sind.

  8. Re: Klarstellung?

    Autor: stan__lemur 06.08.21 - 23:19

    hab (Golem.de) schrieb:
    --------------------------------------------------------------------------------

    > Lilith Wittmann hat also [...] die Lücke
    > gefunden,

    Welche Lücke? Das war "works as designed" - die API akzeptiert und beantwortet die Abfragen. Dass die App nur ein Subset der möglichen Abfragen generiert, ändert nichts daran, dass public access eingebaut wurde.

  1. Thema

Neues Thema


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Automotive Software Entwickler (w/m/d)
    Schaeffler Engineering GmbH, Werdohl
  2. Sachbearbeiter (w/m/d) für den IT-Support im Vor-Ort-Service
    KommunalBIT AöR, Fürth
  3. ERP-Anwendungsentwickler (m/w/d)
    Tauster GmbH, südlich von Stuttgart
  4. Buchhaltungsspezialist:in - lexoffice (w/d/m)
    Haufe Group, Freiburg

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (u. a. Ryzen 7 5800X für 469€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Superbooth: Technikparadies für Musiknerds
Superbooth
Technikparadies für Musiknerds

Von klassischen E-Pianos bis zu Musikstudios in DIN-A5: Bei der Synthesizer-Messe Superbooth haben Hersteller zum Ausprobieren eingeladen.
Ein Bericht von Daniel Ziegener


    1More Evo im Test: Preiswerte Alternative zu Apples Airpods Pro
    1More Evo im Test
    Preiswerte Alternative zu Apples Airpods Pro

    Die Evo-Stöpsel von 1More bieten eine Besonderheit der Airpods Pro und liefern mehr Komfort als die Apple-Konkurrenz.
    Ein Test von Ingo Pakalski

    1. Pixel Buds Pro Googles erste Bluetooth-Hörstöpsel haben ANC-Technik
    2. Momentum True Wireless 3 im Test Sennheiser liefert Top-ANC-Leistung und tollen Klang
    3. Echo Buds 2 im Test Amazon setzt gegen Airpods Pro auf Mittelmaß

    Ryzen 5 5500 im Test: Preiswerter Gaming-Chip mit PCIe-Haken
    Ryzen 5 5500 im Test
    Preiswerter Gaming-Chip mit PCIe-Haken

    Mit dem Ryzen 5 5500 bringt AMD die bisher günstigste Zen-3-CPU in den Handel, doch Intel hat mit dem Core i5-12400F längst vorgelegt.
    Ein Test von Marc Sauter

    1. Agesa 1207 Auf MSIs X370-/B350-Platinen läuft selbst der 5800X3D
    2. Ryzen 5000C AMDs Chromebook-Chips wechseln auf Zen 3
    3. Raphael, Dragon Range, Phoenix AMD macht Ryzen 7000 mit Zen 4 offiziell