To mógł być nieszkodliwy żart: ekspert IT znalazł lukę w zabezpieczeniach aplikacji do kampanii wyborczej CDU, a partia szybko przełączyła się w tryb offline i przeprosiła za naprawienie szkody. Wszyscy uśmiechają się do związku, który przedstawia się jako partia cyfryzacji, ale nie jest w stanie odpowiednio chronić danych własnych sztabów wyborczych. Niemcy, cyfrowy kraj rozwijający się, są dobrze znane.
To nie jest nieszkodliwy żart. Z powodu braku bezpieczeństwa Ustalono berliński Państwowy Urząd Kryminalny – Ale nie przeciwko CDU, ale przeciwko Lilith Whitman, Kto zwrócił uwagę na problem w maju?. „W tym czasie zadzwonił do mnie federalny dyrektor wykonawczy Stephen Hennewick i zaoferował poradę konsultingową” — mówi Whitman. Po wyjaśnieniu, że nie chce pracować dla CDU, Hennevic zagroziła działaniami przestępczymi i w końcu złożyła jej skargę.
Ta aplikacja nosi nazwę „CDU Connect” i została stworzona przez PXN GmbH na potrzeby federalnej kampanii wyborczej w 2017 roku. CSU i ÖVP w Austrii korzystają z aplikacji opartych na tej samej strukturze oprogramowania. Każdy, kto zadzwoni do drzwi jednej ze stron i zdobędzie głos, może go użyć do zarejestrowania szczegółowych danych: Kto jest otwarty na której ulicy? Jaki jest wiek osoby i co myśli o danej imprezie? Za każdy wpis pracownicy kampanii zdobywają punkty i wspinają się na wewnętrzną listę najlepszych. Wiosną 2021 r. dane osobowe i zdjęcia ponad 18 tys. osób przemaszerowały po domach na rzecz CDU i pukały do setek drzwi. Ponadto istniała baza danych z 1350 pracownikami, zawierająca ich adres, datę urodzenia i zainteresowania.
„To nieodpowiedzialne”
Te szczegóły są znane, ponieważ Whitman odkrył w maju, że dostęp do wszystkich danych można uzyskać za pomocą prostych zapytań w interfejsie programistycznym. Brak hasła lub innych ograniczeń technicznych. „To nieodpowiedzialne” – mówi Whitman. „Przechwytuje te ważne dane i opinię polityczną, nie martwiąc się o to, jak je chronić. Najwyraźniej CDU tak naprawdę nie rozumie bezpieczeństwa IT”.
Poinformował o tym Federalny Urząd Bezpieczeństwa Informacji i berlińskiego inspektora bezpieczeństwa danych, wskazując jednocześnie na słaby punkt CDU. Po pobraniu aplikacji z sieci partyjnej i powiadomieniu ofiar, Whitman zwolnił Post na blogu, w którym opisała swoją postawę.
Działania te są zgodne z zasadą „odpowiedzialnej ekspresji”. Każdy, kto wykryje lukę w zabezpieczeniach, powinien najpierw skontaktować się z twórcą aplikacji i powiadomić odpowiednie władze. Możesz upublicznić tylko wtedy, gdy szkoda jest zamknięta lub nie ma poważnego ryzyka. Ma to na celu uniemożliwienie przestępcom wykorzystania dziury. W ten sposób IT zadomowiło się w społeczności. Dobroduszni hakerzy trzymają się tego, a firmy nie reagują na pozwy, ale czasami nawet płacą za napiwki, aby zapobiec złym rzeczom.
Uderza efekt Streisanda
Zapytany, CDU wspomina tylko o kilku wiadomościach na Twitterze, które Hennewick, federalny dyrektor wykonawczy, upuścił w środę. Pisze w nim między innymi, że błędem było wymienienie w ogłoszeniu nazwiska Whitmana. Wycofał więc skargę i przeprosił go przez telefon. Zastanawia się nad koncepcją. Jak sugerowały tweety Hennewick, jej nazwisko „nie zostało wymienione” w reklamie: „Title:” Reklama przeciwko Lilith Whitman i nieznany”. Więcej za to. „
Dla eksperta IT jest jasne, że CDU stara się tylko uniknąć negatywnych nagłówków poprzez przeprosiny. „Partia groziła mi wewnętrznie i publicznie upokarzała mnie. Armin Lachet mówił o hakerze w telewizji. Reklama zdecydowanie nie jest przypadkiem”. Według nich sprawa jeszcze się nie skończyła. Na razie proces wciąż trwa, więc Whitman zbiera Darowizny na ochronę karną.
Whitman uważa, że Chrześcijańscy Demokraci podziękowali mu za relacje w mediach. Między innymi Chaos Computer Club (CCC) upublicznił sprawę i stanął za Vitamanem. CDU jest teraz najwyraźniej przerażona efektem Streisanda: próba stłumienia niepożądanych informacji zostanie odwrócona. Tak właśnie stało się z reklamą.
Whitman nawet nie wiedział, o co oskarża ją CDU. Podejrzewa, że został oskarżony Tak zwane kolumny hakerskie Powinien zostać naruszony. CDU wprowadziła go w 2007 roku we współpracy z SPD. W związku z tym, jeśli złamiesz hasła lub napiszesz dla nich programy komputerowe, grozi Ci kara grzywny lub pozbawienia wolności do dwóch lat, jeśli chcesz „szpiegować i przechwytywać dane”.
CCC nie chce zgłaszać CDU żadnych luk w zabezpieczeniach
„W tym czasie CDU i SPD sprzeciwiały się krytyce przemocy i spodziewano się takiego przypadku” – mówi Whitman. W 2007 roku kilka stowarzyszeń ostrzegało, że bezpieczeństwo IT zagraża badaczom i hakerom o dobrych intencjach, którzy chcieli zapobiegać lukom. „Teraz wszystkim ludziom sama CDU potwierdziła, jak uzasadnione są te obawy” – mówi.
Hennewick, federalny dyrektor wykonawczy, mówi, że postrzega proces odpowiedzialnego ujawniania informacji jako „ważny element zwiększający bezpieczeństwo IT”. To świetny sposób na podniesienie świadomości ofiar na temat luk w zabezpieczeniach. CDU złożyło tylko jedną skargę, ponieważ „dane osobowe zostały również udostępnione przez osobę trzecią”. Ponadto te dziury zostały publicznie wskazane przed powiadomieniem strony. Dopiero podczas rozmowy telefonicznej z ekspertem IT Whitmanem dowiedziała się, że nie ma to z tym nic wspólnego.
Najpierw pokaż, potem info – Chaos jest w klubie komputerowym Efekty zostały już z tego wyciągnięte. „Aby uniknąć przyszłych konfliktów prawnych, niestety jesteśmy zmuszeni unikać zgłaszania luk w systemach CDU” – mówi rzecznik Linus Newman. Zamiast rozwiązać problem, partia atakuje tych, którzy go zwrócą. „CDU robi to nie tylko w tym względzie, ale także w obszarach cyfryzacji i innych ważnych obszarach problemów politycznych. W tym sensie to destrukcyjne podejście jest spójne”.