Die CDU zeigt "aus Versehen" eine Hackerin an, die auf ein Datenleck aufmerksam gemacht hat
Lilith Wittmann, ihres Zeichens Aktivistin und Hackerin, hat im Mai eine massive Sicherheitslücke der CDU-Connect-App aufgedeckt, die jedem Angreifer ohne weitere Schwierigkeiten Zugriff auf die persönlichen Daten von rund 18.500 Wahlkampfhelfern und 1.350 Unterstützern gewährt hätte. Zu den frei zugänglichen Daten gehören Wohnadressen, E-Mail-Adressen, Geburtsdaten, Interessen, Fotos und Facebook-Sicherheits-Tokens.
Die gefundenen Informationen wurden am 11. Mai als Responsible Disclosure beim CERT-Bund eingereicht, am 12. Mai wurde die App bereits vom Server genommen. Eine Belohnung für das Aufspüren dieser massiven Sicherheitslücke gab es nicht, ganz im Gegenteil: Lilith Wittmann hat im unten eingebetteten Tweet einen Screenshot geteilt, in dem sie von der hiesigen Polizei-Dienststelle darauf hingewiesen wird, dass sie als Beschuldigte in einem Strafverfahren rund um die CDU-Connect-App aufgeführt wird.
Hey #Jurabubbel jemand zufällig Zeit für ein bisschen #cyber #Strafrecht? #cduconnect #dawareineHackerindrin
— Lilith Wittmann (@LilithWittmann) August 3, 2021
Und ja die #CDU hat genau so viel Ehre wie erwartet. pic.twitter.com/D3SZOFmHCr
Nachdem diese Strafanzeige von den Medien aufgefasst wurde versucht sich CDU-Bundesgeschäftsführer Stefan Hennewig an Schadensbegrenzung – in den unten eingebetteten Tweets schreibt er, dass es in der Anzeige vielmehr um eine Veröffentlichung personenbezogener Daten außerhalb des Responsible Disclosure-Verfahrens von Lilith Wittmann ginge, gefolgt von einer halbherzigen Entschuldigung dafür, sie "aus Versehen" strafrechtlich verfolgt zu haben. Eine Offenlegung dazu, welche Daten denn nun gestohlen wurden, lässt weiter auf sich warten.
Vor einigen Wochen haben wir Anzeige im Zusammenhang mit der Sicherheitslücke der Connect App erstattet.
— Stefan Hennewig (@StefanHennewig) August 4, 2021
Ein thread. (1/5)
Unsere Anzeige richtet sich NICHT gegen das Responsible Disclosure Verfahren von Lilith Wittmann. RD-Verfahren sind ein guter Weg, um Betroffene auf Sicherheitslücken aufmerksam zu machen. Ich halte diese Verfahren für einen wichtigen Baustein, um IT-Sicherheit zu erhöhen. (2/5)
— Stefan Hennewig (@StefanHennewig) August 4, 2021
Allerdings kam es im Zusammenhang mit der Sicherheitslücke unserer App angeblich auch zu einer Veröffentlichung personenbezogener Daten durch Dritte sowie zu öffentlichen Hinweisen auf die Sicherheitslücke vor der Information an uns - außerhalb des RD. (3/5)
— Stefan Hennewig (@StefanHennewig) August 4, 2021
Ich habe heute mit Lilith Wittmann telefoniert. Sie hat mit diesen beiden Vorgängen nichts zu tun! Die Nennung ihres Namens in der Anzeige war ein Fehler, für den ich sie um Entschuldigung gebeten habe. Beim LKA habe ich die Anzeige gegen sie zurückgezogen. (4/5)
— Stefan Hennewig (@StefanHennewig) August 4, 2021
Mit @LilithWittmann habe ich besprochen, dass ich die Klarstellung und Entschuldigung hier auf Twitter veröffentliche. (5/5)
— Stefan Hennewig (@StefanHennewig) August 4, 2021
Quelle(n)
Lilith Wittmann (Blog | Twitter) | Stefan Hennewig (Twitter)