|
|
|
|
Sehr gut, wenn die gemeinen Hacker nichts mehr über die Sicherheitsprobleme schreiben dann kann auch niemand Schindluder damit treiben!
|
|
|
|
|
|
|
| Zitat von AJ Alpha
Heichtl?
| |
Das fränkische Wort für Dummkopf.
Aber ich finde da echt gar nichts online, also wahrscheinlich nicht sehr verbreitet
|
|
|
|
|
|
|
| Zitat von loliger_rofler
Sehr gut, wenn die gemeinen Hacker nichts mehr über die Sicherheitsprobleme schreiben dann kann auch niemand Schindluder damit treiben!
| |
tja, sagen wirs mal so. der nächste der da ne sicherheitslücke bei der CDU findet wird sich doppelt freuen dürfen.
|
|
|
|
|
|
|
Können sie das dann nicht einfach direkt an die Behörden melden ohne genannt zu werden und so die CDU ärgern?
|
|
|
|
|
|
|
| Zitat von Bregor
Können sie das dann nicht einfach direkt an die Behörden melden ohne genannt zu werden und so die CDU ärgern?
| |
Oder es halt einfach nicht melden, bevor jemand nicht ganz so weißbehutetes Daten findet.
|
|
|
|
|
|
|
Am Arsch, in Zukuft abrippen und in russischen Hackerforen veröffentlichen. Popcorn holen.
|
|
|
|
|
|
|
Kann man den Herausgeber einer solchen App nicht rechtlich belangen, wenn solche Sicherheitslücken bestehen? So anstelle von hinweisen, dass die Daten nicht geschützt sind direkt abmahnen?
|
|
|
|
|
|
|
White Hats wollen no harm to anyone. Sie wollen einfach die IT Welt sicherer machen.
Das klappt i.d.R. auch ganz gut. Lücken werden gefunden, dem Owner angezeigt, die Lücke geschlossen und dann erst Veröffentlicht und Props für die Entdecker/in gegeben.
Was du beschreibst ist die Methodik asozialer Abmahnanwälte.
|
|
|
|
|
|
|
| Zitat von -Xantos-
Kann man den Herausgeber einer solchen App nicht rechtlich belangen, wenn solche Sicherheitslücken bestehen? So anstelle von hinweisen, dass die Daten nicht geschützt sind direkt abmahnen?
| |
nope
|
|
|
|
|
|
|
Was willst du mit dem Twitterlink sagen?
Für Datenschutz Verstöße wird man doch belangt.
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von Bregor am 04.08.2021 10:15]
|
|
|
|
|
|
Ich meine, wenn ich als Betreiber einer Website mich nicht korrekt an das DSGVO halte, sei es jetzt aus faulheit oder weil mein System einen Bug hat, dann kann ich dafür belangt werden. Wieso trifft das in diesem Fall nicht zu? Warum sollte ich mir Mühe geben eine Software so zu gestalten das die Daten wirklich sicher sind, wenn es keine rechtliche Relevanz hat?
e/
Ohne DSGVO Experte zu sein, gehts darum:
|
Die DSGVO führt in Art. 5 explizit folgende sechs Grundsätze für die Verarbeitung personenbezogener Daten auf:
[...]
Speicherbegrenzung (Daten müssen „in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es […] erforderlich ist ; )
Integrität und Vertraulichkeit ( ; angemessene Sicherheit der personenbezogenen Daten […], einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung; ) | |
aus https://de.wikipedia.org/wiki/Datenschutz-Grundverordnung
Speicherbegrenzung ist nicht gegeben wenn die Daten von dritten kopiert und gesichert werden können, angemessene Sicherheit ist offensichtlich dann auch nicht gegeben...
|
[Dieser Beitrag wurde 2 mal editiert; zum letzten Mal von -Xantos- am 04.08.2021 10:23]
|
|
|
|
|
|
Der Staat hat was tolles eingebaut: Wenn ein Unternehmen auf ne Sicherheitslücke, Datenleck oder sonstwas hingewiesen wird, und dies dann innerhalb ner Frist selber beim Bund (weiß grad nicht, welches Amt/Ministerium) meldet, anschließend mit dem Bund "kooperiert" und die Lücke dann schließt, kommt das Unternehmen straflos oder mit verminderten Bußgeld davon.
Gearscht ist nur der Kunde, dessen Daten nun eventuell frei rumfliegen.
Dazu gabs im Zuge von Gorillas Datenschutzlücke auch ne Diskussion im Discord, und der ein oder andere findet dieses vorgehen sogar sehr gut.
edit: Schönes Beispiel von Knuddels.de: Absolut schlecht geschriebene Software, Daten wurden unverschlüsselt und im Klartext abgespeichert, im Internet landeten rund 800.000 Daten.
| Die Betreiber fanden die Ursache schnell heraus: Die Daten lagen unverschlüsselt und im Klartext auf einem älteren Server. Knuddels reagierte umgehend und verbesserte sofort die IT-Sicherheit im Unternehmen. Die baden-württembergische Datenschutzbehörde lobte den Betreiber für sein vorbildliches Verhalten. Deshalb war das Bußgeld mit 20.000 Euro auch vergleichsweise gering. | |
Dafür gelobt werden, dass man erst reagiert, wenn Daten schon abgeflossen sind, ist schon toll.
|
[Dieser Beitrag wurde 2 mal editiert; zum letzten Mal von krak0s am 04.08.2021 10:31]
|
|
|
|
|
|
Was sinnvoll ist. Sonst wäre der Betrieb von IT Infrastruktur unfassbar teuer, weil enorme Risiko Rücklagen gebieldet werden müssten da zu 100% Bugs passieren und Sicherheitslücken gefunden werden, für die die Betreiber tatsächlich nichts können.
Für was sie sehr wohl etwas können ist diese Bugs nicht zu beseitigen bzw. die Sicherheitslücken nach Bekanntwerden nicht zu schließen und das wird dann auch bestraft.
|
[Dieser Beitrag wurde 2 mal editiert; zum letzten Mal von le glock sportif ® am 04.08.2021 10:31]
|
|
|
|
|
|
Andernfalls hätte man halt keinerlei Anreiz, zu kooperieren, sondern eher sogar zu vertuschen.
|
|
|
|
|
|
|
| Zitat von le glock sportif ®
Was sinnvoll ist. Sonst wäre der Betrieb von IT Infrastruktur unfassbar teuer, weil enorme Risiko Rücklagen gebieldet werden müssten da zu 100% Bugs passieren und Sicherheitslücken gefunden werden, für die die Betreiber tatsächlich nichts können.
Für was sie sehr wohl etwas können ist diese Bugs nicht zu beseitigen bzw. die Sicherheitslücken nach Bekanntwerden nicht zu schließen und das wird dann auch bestraft.
| |
Die meisten Datenschutzprobleme sind nicht auf unbeabsichtigte Bugs zurückzuführen, sondern auf schlechte IT Sicherheit bzw fehlendes Bewusstsein, schlampige Programmierung, fehlendes Interesse an Datenschutz.
Datenbanken, die unverschlüsselt irgendwo abgelegt werden
Datenbanken mit Standardanmeldedaten (admin admin)
UrlParameter, mit denen man ohne Probleme an andere Daten kommt (siehe CDU App Problematik)
etc.
Das sind keine Bugs, das ist schlechte Arbeit.
|
|
|
|
|
|
|
Hast du Quellen für deinen Claim?
e: Die wenigsten Betreiber von Dienst XYZ haben alles selbts programiert, sondern greifen auf fertige Komponeneten zurück, die sie ggf. noch anpassen und entsprechend orchestrieren müssen. Also im wesentlichen ist das eine Integrationsleistung mit einer Prise Eigenentwicklung.
Wenn nun in einer Komponente Mist gebaut wurde, kann man den Nutzer nicht unmittelbar dafür verantwortlich machen.
Also, man könnte das schon, aber das würde bedeuten das sich nur noch ganz wenige Unternehemn das Risiko öffentlicher IT leisten könnten, und die Dienste wären halt totaler Luxus. Internet = killed.
|
[Dieser Beitrag wurde 4 mal editiert; zum letzten Mal von le glock sportif ® am 04.08.2021 10:50]
|
|
|
|
|
|
Jedem, der schon mal eine API gebaut hat, ist sofort klar, dass ein Fehler wie der in diesen CDU-Apps oder auch die Testzentrumsgeschichten, die das Team von Zerforschung hat auffliegen lassen, einfach nicht passieren dürfen. Das sind, wie Krakos geschrieben hat, keine unbeabsichtigten Fehler, sondern einfach völlig fehlendes Bewusstsein und - besonders wichtig - fehlendes Interesse.
/ Ich erkläre:
Nehmen wir an, ihr verschickt URLs, mit denen die Leute ihre Testergebnisse einsehen können. Ihr wollt, dass Leute nur ihre eigenen Testergebnisse einsehen können, aber nicht, dass sie irgendwelche Testergebnisse einsehen können.
Die URL sieht jetzt so aus:
testcenter.de/ergebnisse/5123.
Na, was glaubt ihr, was passiert, wenn ich da jetzt testcenter.de/ergebnisse/5124 eingebe? Genau. Ist passiert. Von professionellen "IT-Dienstleistern".
// In etwa dasselbe lief jetzt bei der CDU-App mit Usern (tausche ergebnisse durch user) - und noch viel Schlimmeres. Das ist so komplett ballaballa, das muss jedem 15-Jährigen klar sein, der in der Garage Einkaufslistenapps für seine Nachbarn zusammenschustert.
|
[Dieser Beitrag wurde 3 mal editiert; zum letzten Mal von Ameisenfutter am 04.08.2021 11:06]
|
|
|
|
|
|
|
|
|
|
Jo, das würde an anderen Stellen unter grober Fahrlässigkeit laufen. Aber im Neuland drück man ja alle Augen zu.
|
|
|
|
|
|
|
Diese Fahrlässigkeit zeigen Leute, für die das eigentlich gar kein Neuland ist. Das sind kleine IT-Klitschen voller junger Leute, aber ohne jede Kompetenz. Believe me, ich hab in genau so einer Klitsche entwickelt - auch ohne den blassesten Schimmer, was ich da eigentlich mache. Auch so Stories wie Luca (im Grunde dieselben Probleme) wundern einen da nicht mehr.
/ Also das Problem ist immer das, ne:
APIs, die ohne Authentifizierung (Password) angefragt werden können und leicht ratbare Schlüssel (aufsteigende Zahlen) benutzen. Nen schwer ratbaren Schlüssel verwenden ist literally ein Klick, ne ordentliche Authentifizierung einbauen eine Frage von vielleicht einem Tag.
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von Ameisenfutter am 04.08.2021 11:13]
|
|
|
|
|
|
Kurze Anmerkung: Was ich da oben beschrieben habe war nicht spezifisch für diese CDU App, sondern eher so grundsätzlich.
Was konkret bei der CDU App schiefgegengen ist weiß ich nicht und ich möchte nicht sagen das das auf keinen Fall die Schuld der CDU App Betreiber gewesen sein kann.
OK? Weitermachen.
|
|
|
|
|
|
|
puh - richtig schlecht
|
|
|
|
|
|
|
|
|
|
|
Hacken ist verboten weil hacken eine illegale Tätigkeit ist.
|
|
|
|
|
|
|
Und Hacken beginnt mit dem Tragen einer Sturmhaube am Rechner. Ist ja klar.
|
|
|
|
|
|
|
Eigentlich reicht dafür schon ein schwarzer Kapuzenpulli.
Am Rechner ist man damit Hacker und auf der Straße Linksextremist.
|
|
|
|
|
|
|
| Zitat von [A-51SS] fly
Eigentlich reicht dafür schon ein schwarzer Kapuzenpulli.
Am Rechner ist man damit Hacker und auf der Straße Linksextremist.
| |
Nur, wenn man Linux im Darkmode laufen hat und alle Textausgaben grün sind.
|
|
|
|
|
|
|
| Zitat von Duftibär
Und Hacken beginnt mit dem Tragen einer Sturmhaube am Rechner. Ist ja klar.
| |
Mit nem Messer wird gecodet, mit der Brechstange gehackt.
|
|
|
|
|
|
|
| - Beim Aufhängen deines Plakates ist zu beachten, dass Du das Plakat nur an Privatflächen aufhängen darfst. Das kann zum Beispiel Dein eigenes Fenster sein, ein Stromkasten das Café ums Eck, oder der Supermarkt. Stelle sicher, dass es für den:die Eigentümer:in in Ordnung ist. Nach der Bundestagswahl musst Du das Plakat wieder entfernen. | |
Ich heb das nochmal hervor:
Mein Netzbetreiber liebt solche Späße. Da gibts Sonntäglichen mit Nachtzuschlag versehehen Kampfeinsatz und ne Rechnung an den Verursacher, also die CDU Geschäftsstelle vor Ort. Freu mich
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von monischnucki am 04.08.2021 12:51]
|
|
|
|
|
|
PLAKATEANBRINGENVERBOTEN
Feuerpolizeilich aber, beim full alman Energieversorger.
|
|
|
|
|
|
Thema: Die Bundesregierung ( Kabinett Merkel IV ) |