Krasse Geschichte: Die digitale Wahlkampfbude von CDU/CSU ist total verkommen.
Eine junge Programmiererin, Lilith Wittmann, hat sich schon im Mai mal die App CDUcoņnect angesehen.
Die Connect-App für iOS und Android soll es Wahlkämpferinnen und Wahlkämpfern der Partei unter anderem erlauben, Informationen zu Hausbesuchen zu erfassen, im Sinne von: In welcher Straße war man unterwegs und hat geklingelt? Machte jemand die Tür auf, und war es ein Mann oder eine Frau? Wie stand jene Person zur CDU? Und wie alt war sie ungefähr?
Wittmann schreibt nun, sie habe einen Weg gefunden, »detaillierte Informationen zu jedem in der App erfassten Besuch« abzurufen. Dabei seien neben Straßennamen, Geschlechtsangaben und dem geschätzten Alter auch Notizen zu Gesprächsinhalten einsehbar gewesen, heißt es. Als ein Beispiel zitiert Wittmann folgende Notiz: »Bundeskanzler soll ein Mann sein und keine links-grün-versiffte Frau. – 50-jährige Frau aus Göttingen«. Wittmann berichtet von mehr als 100.000 solcher Datensätze.
Und die App ist natürlich von ihr geknackt worden. Ordentlich gemeldet, unter anderem beim Digitalsicherheitsamt BSI, und die CDU nahm das Ding vom Netz.
Die App Connect soll den Haustürwahlkampf der CDU ins digitale Zeitalter holen, sogar Gesprächsnotizen werden damit gespeichert. Dieser Datenschatz wird jedoch kaum geschützt, zeigt nun eine IT-Expertin.
www.spiegel.de
Zweite Runde: Die Wittmann recherchiert, wer das Ding gebaut hat und was die sonst noch so machen; stellt sich heraus, die sind aus der CDU und bauen Wahlkampfapps auch für die CSU und die ÖVP. Stellt sich heraus: Natürlich ist das dieselbe App in anders lackiert. Mit den selben Fehlern.
Und die bleiben online. Die Betreiber wissen jetzt, daß sie die Bürgerdaten – und übrigens noch mehr, auch der Wahlkampfhelfer – Hackern zum Fraß vorwerfen. Bis Wittmann wieder meldet. Dann erst nehmen sie auch diese Dinger vom Netz.
…oder auch “it was so nice I did it twice”.
lilithwittmann.medium.com
Das ist alles noch nicht der Hammer. Der Hammer kommt jetzt:
https://www.heise.de/amp/news/Siche...Strafverfahren-gegen-Entdeckerin-6154663.html
Anzeige ist raus!
Kann man wohl so machen. Insbesondere nach den jüngsten Verschärfungen der Hackerparagraphen. Macht man aber nicht, da man dann nicht mehr vor Sicherheitlücken gewarnt wird, wenn ich statt eines Dankeschöns – und etwa bei Google eine dicke Stange Geld, manche finanzieren damit ihr Studium – mir eine Anzeige einfange.
Nachdem Lilith Wittmann eine gravierende Sicherheitslücke in einer CDU-App entdeckt hatte, ermittelt nun das LKA gegen sie. Aus der CDU wurden zuvor rechtliche Schritte angekündigt. Das Vorgehen ist bemerkenswert, weil Wittmann verantwortungsvoll auf die Lücke hingewiesen hatte. Der CCC will...
netzpolitik.org
(Schönes Symbolfoto übrigens.)