Ergebnis 1 bis 5 von 5

Thema: WeAct von Campact hat Software-Sicherheitsproblem

  1. #1
    Diplom Privatier (c) Avatar von cmds
    Registriert seit
    04.05.2006
    Ort
    N 53° 07.274′ E 7° 58.678′
    Beiträge
    12.913

    Standard WeAct von Campact hat Software-Sicherheitsproblem

    Kam gerade frisch bei mir an:

    Guten Tag,
    vor einiger Zeit haben Sie auf unserer Petitionsplattform WeAct einen Appell unterzeichnet. Nach dem Unterzeichnen wollten Sie allerdings nicht weiter über WeAct oder einzelne Petitionen informiert werden. Es tut uns leid, dass wir Sie heute dennoch anschreiben müssen.
    Leider ist es nämlich auf WeAct zu einem Daten-Problem gekommen, von dem auch Sie betroffen sind. Wir sind daher nach den Vorgaben der Datenschutzgrundverordnung dazu verpflichtet, Ihnen diese Mail zu senden.
    Was ist passiert?
    Am 4. Juli 2019 hat uns unser technischer Dienstleister auf einen Fehler auf der Seite WeAct hingewiesen. WeAct ist unsere Petitionsplattform, auf der jede*r Bürger*in einen eigenen Appell starten kann. Der Fehler bewirkte, dass personenbezogene Daten von knapp zwei Millionen WeAct-Nutzer*innen unzureichend vor einem möglichen unberechtigten Zugriff geschützt waren. Es handelte sich um den Namen und die Postleitzahl sowie teilweise die E-Mail-Adresse.
    In Ihrem Fall betroffen waren Ihr Vor- und Zuname, Ihre Postleitzahl sowie Ihre E-Mail-Adresse.
    Hat eine unberechtigte Person nun Ihre Daten?
    Nach dem bisherigen Stand unserer technischen Analysen gibt es keinen Hinweis darauf, dass der Fehler ausgenutzt und auf Ihre Daten unberechtigt zugegriffen wurde.
    Was haben wir unternommen?
    Das technische Problem wurde sofort nach Bekanntwerden behoben. Wir haben natürlich die zuständige Datenschutzbehörde informiert. Und wir haben begonnen, die Gründe für den Fehler und das Ausmaß des Fehlers zu untersuchen. Außerdem hat unser technischer Dienstleister umgehend den Hersteller der WeAct-Software informiert. Dieser arbeitet weltweit mit zahlreichen weiteren NGOs zusammen. Innerhalb kürzester Zeit wurde für alle ein Update veröffentlicht, das das Problem behebt.

    Wir sind froh, dass bisher nichts darauf hinweist, dass Daten gestohlen wurden. Trotzdem handelt es sich um einen Fehler, der nicht hätte passieren dürfen. Wir möchten uns für dieses Versäumnis bei Ihnen entschuldigen und hoffen darauf, dass Sie unsere Entschuldigung annehmen.
    Wir arbeiten intensiv daran, dass es nicht mehr zu einem solchen Problem kommen kann. Dazu überprüfen wir mit unserem Datenschutzbeauftragten, unseren technischen Dienstleistern und anderen versierten Expert*innen unsere Abläufe und alle Sicherheitsvorkehrungen.
    Sollten Sie noch Fragen haben, dann schreiben Sie uns an [Link nur für registrierte Mitglieder sichtbar. ]. Wir freuen uns auf Ihre Nachricht! Da wir viele Nachfragen erwarten, haben Sie bitte Verständnis dafür, wenn wir diesmal für eine Antwort länger brauchen als üblich.
    Mit herzlichen Grüßen
    Dr. F. K., Campact-Vorstand
    L. R., Teamleiterin WeAct


    Lesen Sie ab hier technische Details zum Daten-Problem
    Im Folgenden beschreiben wir Ihnen ausführlicher die technischen Hintergründe des Daten-Problems. Verantwortlich für den Fehler waren zwei Ursachen, die voneinander unabhängig sind. Die erste Ursache war ein Problem in der Software von WeAct (“Design-Problem”). Die zweite Ursache war ein Problem mit der Kompatibilität der Software des Servers, auf dem die WeAct-Software installiert ist (“Kompatibilitäts-Problem”).
    Zum “Design-Problem”:
    Wer auf WeAct eine Petition startet, hat die Möglichkeit, sie an die Adressat*innen der Petition zu übergeben - etwa verantwortliche Politiker*innen oder Unternehmenschef*innen. So kann der jeweiligen politischen Forderung mehr Nachdruck verliehen werden. Jede*r Petitionsstarter*in kann sich hierfür die Liste mit den Namen und Postleitzahlen der Unterstützer*innen ihrer*seiner Petition als PDF-Datei herunterladen und gegebenenfalls ausdrucken.
    Leider wurden diese Dateien auf dem WeAct-Server in einem Ordner abgelegt, auf den auch ohne Identifizierung zugegriffen werden konnte. Das bedeutet: Wer die exakte Bezeichnung dieser Dateien gekannt hätte, hätte auf sie zugreifen können - und herausfinden können, ob und welche Petition Sie unterzeichnet haben.
    Zum “Kompatibilitäts-Problem”:
    Die für WeAct eingesetzte Software wurde vom Hersteller ursprünglich dafür entwickelt, auf virtuellen Servern der Firma “Amazon” betrieben zu werden. Aus Gründen des Datenschutzes hatten wir uns aber dafür entschieden, die WeAct-Software nicht in der Amazon-Cloud, sondern lieber auf unseren eigenen Servern in einem deutschen Rechenzentrum zu betreiben. Dazu war eine Open-Source-Software nötig, die die Funktionen der Amazon-Cloud ersetzt.
    Leider unterstützte diese Open-Source-Software eine Methode nicht, mit der Dateien als privat markiert werden können. Die Namen, Postleitzahlen und teilweise auch E-Mail-Adressen von WeAct-Nutzer*innen, die durch diese Markierung geschützt sein sollten, waren also theoretisch ohne Authentifizierung zugänglich. Die Folge hätte sein können, dass Sie unerwünschte Mails (Spam) erhalten. Für einen Zugang zu den Daten wäre aber auch hier Voraussetzung gewesen, die exakte Bezeichnung der Dateien zu kennen.


    Diese E-Mail wurde gesendet an meine Mailadresse

    Hier klicken, um Benachrichtigungen dieser Art abzubestellen.
    V.i.S.d.P. F. K. | Campact e.V. | Artilleriestraße 6 | 27283 Verden

    Geändert von cmds (17.07.2019 um 15:04 Uhr)
    Die Signatur befindet sich aus technischen Gründen auf der Rückseite dieses Beitrages!
    Dieser Eintrag wurde extrem umweltfreundlich, aus wiederverwendeten Buchstaben gelöschter E-Mails geschrieben und ist vollständig digital abbaubar.
    „Ich fürchte den Tag, wenn Technologie unsere Wechselbeziehungen beeinflusst, die Welt wird Generationen von Idioten haben.” Albert Einstein 1879-1955
    „Die ältesten Wörter sind die besten und die kurzen die allerbesten." Sir Winston Churchill 1874–1965
    "Nur die Lüge braucht die Stütze der Staatsgewalt, die Wahrheit steht von alleine aufrecht."Thomas Jefferson1743-1826




  2. #2
    Senior Mitglied
    Registriert seit
    24.11.2008
    Ort
    Dortmund
    Beiträge
    1.430

    Standard

    Nach dem Unterzeichnen wollten Sie allerdings nicht weiter über WeAct oder einzelne Petitionen informiert werden. Es tut uns leid, dass wir Sie heute dennoch anschreiben müssen.
    Hier klicken, um Benachrichtigungen dieser Art abzubestellen.
    Wozu? Wie man oben lesen kann, wird es ignoriert. Oder wird dadurch ein gesetzwidriges Verhalten von Compact forciert?

    Schönes Beispiel, daß man mit Floskeln bei Datenschutzbelangen sparsam sein sollte.
    ____
    IANAL

  3. #3
    Mitglied
    Registriert seit
    18.11.2005
    Beiträge
    364

    Standard

    Zitat Zitat von Ralgert Beitrag anzeigen
    Wozu? Wie man oben lesen kann, wird es ignoriert. Oder wird dadurch ein gesetzwidriges Verhalten von Compact forciert?
    Das sehe ich anders. Das Einverständnis wurde meiner Meinnung nach nicht ignoriert, denn die Zusendung der Mail war weder Werbung noch gar Spam. Es handelt sich um eine den geschlossenen Vertrag betreffende essentielle Information. Lt. Vertrag hat sich WeAct dazu verpflichtet, die Daten des Teilnehmers unter Verschluß zu halten. Und nachdem eine Panne entdeckt wurde, hat man offensichtlich zeitnah den Betroffenen informiert.

    Fehler können überall passieren. Leider stehen aber die meisten Unternehmen nicht zu diesen Fehlern. Deswegen finde ich es gut und sogar lobenswert, daß WeAct das Problem kommuniziert. Im Gegensatz zu vielen großen multinationalen Saubermännern, wie Facebook oder Amazon oder gar amtlichen Stellen, die erst dann etwas eingestehen, wenn es durch Dritte aufgedeckt wird und auch dann nur scheibchenweise, hat sich dieser kleine Verein schnell bemüht, alles offenzulegen und die Panne zu beheben.
    Cape Town

  4. #4
    Diplom Privatier (c) Avatar von cmds
    Registriert seit
    04.05.2006
    Ort
    N 53° 07.274′ E 7° 58.678′
    Beiträge
    12.913

    Standard

    Auch ich sehe die Mail nicht als unerlaubte Zusendung, sondern als gesetzeskonforme Meldung an den Betroffenden über das Datenleck.
    Deshalb habe ich das auch unter Allgemeines und nicht unter Spam gepostet
    Die Signatur befindet sich aus technischen Gründen auf der Rückseite dieses Beitrages!
    Dieser Eintrag wurde extrem umweltfreundlich, aus wiederverwendeten Buchstaben gelöschter E-Mails geschrieben und ist vollständig digital abbaubar.
    „Ich fürchte den Tag, wenn Technologie unsere Wechselbeziehungen beeinflusst, die Welt wird Generationen von Idioten haben.” Albert Einstein 1879-1955
    „Die ältesten Wörter sind die besten und die kurzen die allerbesten." Sir Winston Churchill 1874–1965
    "Nur die Lüge braucht die Stütze der Staatsgewalt, die Wahrheit steht von alleine aufrecht."Thomas Jefferson1743-1826




  5. #5
    Senior Mitglied
    Registriert seit
    24.11.2008
    Ort
    Dortmund
    Beiträge
    1.430

    Standard

    Mißverständnis. Die haben lobenswerterweise schon richtig gehandelt. Nur die Floskel am Ende hätten sie sich sparen können, denn sie sind ja verpflichtet, "Benachrichtigungen dieser Art" zu verschicken und man kann sie nicht abbestellen.
    ____
    IANAL

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen