calendar
« Okt123456789101112131415161718192021222324252627282930 Dez »

Kleines Datenleck bei der CDU-Hamburg

Dieser Text ist im Cache von metaowl.de - das Original ist hier zu finden.

Die CDU-Hamburg betreibt eine Internetseite und bietet dort auch einen Newsletter an. Wir bekamen den Hinweis, dass man als Newsletter-Abonnent leicht Zugriff auf alle anderen eingetragenen Empfänger bekommen kann. Um das auszuprobieren, mussten wir uns anmelden. Das war gar nicht so einfach. Entgegen üblicher Praktiken verschickt das System keine Bestätigungsmail und es gibt auch kein Double-Opt-In-Verfahren. Da kann die CDU-Hamburg glücklich sein, dass sie noch nicht abgemahnt wurde. Erst mit dem verschicken eines Newsletters konnten wir die Datenlücke verifizieren. Jeder Newsletter-Abonnent bekommt eine individuelle Zahl zugeordnet, wie man an URL zum managen des Newsletter-Accounts sehen kann. Ich würde ja gerne die URL hier bloggen, aber dann hat jeder Zugriff auf alle Newsletter-Abonnenten. Also lass ich das mal. Wir hatten die Zahlen 704 und 705, weil wir mangels Bestätigungsmail uns doppelt angemeldet haben. Und daran konnten wir auch erkennen, wie erfolgreich der Newsletter nachgefragt wurde. Interessanterweise fanden wir eine Menge Dupletten von Personen, die sich wahrscheinlich ebenfalls doppelt angemeldet haben.

Mit der URL konnte man herumspielen und alle Zahlen zwischen 001 und 705 eingeben. Zahlreiche Zahlen funktionierten nicht mehr, weil anscheinend der Newsletter abbestellt wurde. Ungefähr die Hälfte der Zahlen klappten und wir konnten schauen, wer den Newsletter mit welcher Mailadresse abonniert hat. Das scheinen bei der CDU-Hamburg vor allem Journalisten aller möglichen Medien zu sein. Mit dem Wissen um die Datenlücke könnte man einige Dinge anfangen. Einerseits ist es möglich, alle Newsletter-Abonnenten einfach durch einen Mausklick abzumelden. Vermutlich würde das mangels Bestätigungsmail niemand bemerken. Man könnte auch einen gefakten Newsletter im Namen der CDU-Hamburg an alle Adressaten mit Links zu Schadsoftware oder anderen Dingen verschicken.

Wir haben der CDU-Hamburg am Sonntag per Mail an die offizielle Kontaktadresse info@cduhamburg.de Bescheid gegeben, auf diese und andere Sicherheitslücken in ihrem System hingewiesen und als Veröffentlichung den heutigen Dienstag angekündigt. Leider haben wir dann nichts mehr gehört. Vielleicht werden die Lücken ja jetzt rasch geschlossen.

von netzpolitik.org » Datenschutz, gepostet am Dienstag, 17. November 2009 um 8:00
Aufgrund der Textinhalte könnten folgende Beiträge thematisch zu diesem Beitrag passen:
  • Da gehen sie hin, Eure Daten Datenleck: Datensätze von Porno-Kunden im Umlauf: Bei dieser Nachricht werden sicherlich viele Menschen nervös: Porn Billing Leak Exposes Buyers. Die
  • Des Schäubles kleines Wörterbuch Zeit.de hat ein kleines Lexikon des “Innenministerdeutsch”: Des Schäubles kleines Wörterbuch. Wie lassen sich Einschränkungen der Bürgerfreiheit als Gewinn für alle
  • Da gehen sie hin, Eure Daten… Neue Datenlecks in den USA und England: Eine neue Datenpanne, bei der die Angaben von rund 600.000 Marine-Rekruten gestohlen wurden,
  • Das wöchentliche britisches Datenleck Da gehen sie hin, Eure Daten: Die nächste Datenpanne beim britischen Militär. [heise online news] Technorati-Tags: Datenschutz Datenleck
  • Da gehen sie hin, Eure Daten… Datenleck bei österreichischer Justiz: Dem österreichischen Justizministerium sind im Jahr 2005 laut profil 8.500 Häftlingsdaten entwendet worden. Die Betroffenen wurden
Stoppt die Vorratsdatenspeicherung! Jetzt klicken & handeln!Willst du auch bei der Aktion teilnehmen? Hier findest du alle relevanten Infos und Materialien: