Spenden

Dieser Artikel ist mehr als 16 Jahre alt.

Kleines Datenleck bei der CDU-Hamburg

Die CDU-Hamburg betreibt eine Internetseite und bietet dort auch einen Newsletter an. Wir bekamen den Hinweis, dass man als Newsletter-Abonnent leicht Zugriff auf alle anderen eingetragenen Empfänger bekommen kann. Um das auszuprobieren, mussten wir uns anmelden. Das war gar nicht so einfach. Entgegen üblicher Praktiken verschickt das System keine Bestätigungsmail und es gibt auch kein Double-Opt-In-Verfahren.

  • Markus Beckedahl
Markus Beckedahl
21

Die CDU-Hamburg betreibt eine Internetseite und bietet dort auch einen Newsletter an. Wir bekamen den Hinweis, dass man als Newsletter-Abonnent leicht Zugriff auf alle anderen eingetragenen Empfänger bekommen kann. Um das auszuprobieren, mussten wir uns anmelden. Das war gar nicht so einfach. Entgegen üblicher Praktiken verschickt das System keine Bestätigungsmail und es gibt auch kein Double-Opt-In-Verfahren. Da kann die CDU-Hamburg glücklich sein, dass sie noch nicht abgemahnt wurde. Erst mit dem verschicken eines Newsletters konnten wir die Datenlücke verifizieren. Jeder Newsletter-Abonnent bekommt eine individuelle Zahl zugeordnet, wie man an URL zum managen des Newsletter-Accounts sehen kann. Ich würde ja gerne die URL hier bloggen, aber dann hat jeder Zugriff auf alle Newsletter-Abonnenten. Also lass ich das mal. Wir hatten die Zahlen 704 und 705, weil wir mangels Bestätigungsmail uns doppelt angemeldet haben. Und daran konnten wir auch erkennen, wie erfolgreich der Newsletter nachgefragt wurde. Interessanterweise fanden wir eine Menge Dubletten von Personen, die sich wahrscheinlich ebenfalls doppelt angemeldet haben.

Mit der URL konnte man herumspielen und alle Zahlen zwischen 001 und 705 eingeben. Zahlreiche Zahlen funktionierten nicht mehr, weil anscheinend der Newsletter abbestellt wurde. Ungefähr die Hälfte der Zahlen klappten und wir konnten schauen, wer den Newsletter mit welcher Mailadresse abonniert hat. Das scheinen bei der CDU-Hamburg vor allem Journalisten aller möglichen Medien zu sein. Mit dem Wissen um die Datenlücke könnte man einige Dinge anfangen. Einerseits ist es möglich, alle Newsletter-Abonnenten einfach durch einen Mausklick abzumelden. Vermutlich würde das mangels Bestätigungsmail niemand bemerken. Man könnte auch einen gefakten Newsletter im Namen der CDU-Hamburg an alle Adressaten mit Links zu Schadsoftware oder anderen Dingen verschicken.

Wir haben der CDU-Hamburg am Sonntag per Mail an die offizielle Kontaktadresse info@cduhamburg.de Bescheid gegeben, auf diese und andere Sicherheitslücken in ihrem System hingewiesen und als Veröffentlichung den heutigen Dienstag angekündigt. Leider haben wir dann nichts mehr gehört. Vielleicht werden die Lücken ja jetzt rasch geschlossen.

Über die Autor:innen

  • Markus Beckedahl
    Markus Beckedahl

    Markus Beckedahl hat schon 2003 in der Ur-Form von netzpolitik.org gebloggt und hat zwischen 2004 bis 2022 die Plattform als Chefredakteur entwickelt. Seit 2024 ist er nicht mehr Teil der Redaktion und schreibt einen Newsletter auf digitalpolitik.de. Kontakt: Mail: markus (ett) netzpolitik.org, Presseanfragen: +49-177-7503541 Er ist auch auf Mastodon, Facebook, Twitter und Instagram zu finden.

    Foto: Darja Preuss

Veröffentlicht

Kategorie

Schlagwörter

, , , ,

Weiterlesen

Thema

Datenschutz

Thema

CDU

Thema

Datenleck

Ergänzungen

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.

21 Kommentare zu „Kleines Datenleck bei der CDU-Hamburg“

  1. tschesch

    ,

    Klasse.
    Ich gehe mal ganz stark davon aus, dass die Mail eh noch keiner gelesen hat.
    Wird vielleicht am nächsten Monatsersten alles ausgedruckt und gelesen

  2. hoos Area » Blog Archiv » News: Newsletterproblem bei CDU

    ,

    […] netzpolitik Beitrag gefallen? Lesezeichen legen oder Freunde informieren: Diese Icons verlinken auf […]

  3. ninjaturkey

    ,

    »…vor allem Journalisten aller möglichen Medien…«

    Was will ein Qualitätsjournalist™ mit dem Werbe-Neswletter der Regionalstelle einer Partei – Hofberichterstattung?

  4. hoohead

    ,

    Die XSS auf der CDU Webseite zu fixen wäre fast wichtiger ;)

  5. Bestätigung

    ,

    „Leider haben wir dann nichts mehr gehört.“

    Was erwartest Du? Eine Bestätigungsmail? Warum sollten sie ausgerechnet jetzt damit anfangen…

  6. Michael Schwarz

    ,

    Die reagieren nicht einmal wenn man ihnen SQL-Injection meldet, über die man seine eigenen News einspeisen kann und sich selber zum Admin aufschwingt.

  7. Sebastian Gebhard

    ,

    So wie ich das sehe, ist die Newsletter-Anmeldung jetzt von der Website genommen worden. Vielleicht dachte man bis zu diesem Post, dass ihr nur Spaß macht ;)

  8. JakobD

    ,

    Ich hab grad nix zu tun, dann geh ich doch mal so die CDU-Webseiten durch und guck mal was ich so finde :)
    Vielleicht kriegt ihr ja heute nen Newsletter von mir :D

  9. stefan

    ,

    oh, sehr schön, ich hoffe das funktioniert auch bei anderen newslettern dieser partei! ich würde mich gerne vom newsletter der csu-würzburg abmelden, bei dem ich mich nie angemeldet habe und es seit 2 jahren nicht schaffe mich abzumelden…

  10. Chris

    ,

    Die suchen noch einen Praktikanten der das Problem fixen kann.

    http://cduhamburg.de/deutsch/3360/6256/6256/27002/design1.html

  11. Michael

    ,

    Sieht nicht so aus, als ob die Newsletter-Anmeldung von der Seite genommen worden wäre: http://www.cduhamburg.de/deutsch/748/732/27002/liste9.html

    Da findet noch nicht mal ein Test statt – zweimal „test“ eingegeben, jetzt kriegt „test“ in Zukunft den Newsletter :)

  12. jahrra's status on Tuesday, 17-Nov-09 09:24:52 UTC - Identi.ca

    ,

    […] http://www.netzpolitik.org/2009/kleines-datenleck-bei-der-cdu-hamburg/ a few seconds ago from mbpidgin […]

  13. frank

    ,

    mit verlaub – ihr habt nicht „zugriff auf die newsletter-abonnenten“, ihr habt zugriff auf deren mailadressen. schlimm genug, natürlich, aber doch irgendwie ein unterschied.

  14. j4k3

    ,

    > […]Leider haben wir dann nichts mehr gehört.[…]

    Schätze, bei der CDU ist Mails lesen gerade nicht. Wahrscheinlich weil der Drucker ’nen Papierstau hat.

  15. Simon

    ,

    Da wird sich eh nur der CDU-Anwalt melden, von wegen Hackerangriff usw. ;)

    Oder jemand fragt: Brauser? Was ist nochmal ein Brauser?

    Das die CDU die Lücken schließt denke ich aber auch nicht, melden werden die sich wie geschätzt wenn über einen Anwalt, aber wirklich was tun… nee, das würde nicht zur CDU passen.

    Vielleicht sollten die ein STOP-Schild auf die Seite tun, um böswillige Hackerterroristen abzuhalten.

  16. e7

    ,

    Das ganze ist ein eingekauftes CMS, das „kann“ man nicht so ohne weiteres ändern. Muss man schön brav auf den Hersteller warten – oder traut ihr der CDU etwa „Raubprogrammierung“ zu? Allerdings funktioniert die Herstellerseite auch nicht so astrein (FAQ als Flash-Filmchen die nicht angezeigt werdem, Captchas werden nicht angezeigt etc.) und die FAQ enthält auch nicht so viele von Qualität zeugende Dinger (zumindest die Überschriften, mehr kann man nicht lesen). Beispiele:

    Warum müssen die Sicherheitseinstellungen REGISTER GLOBALS und SAFE_MODE ungenutzt bleiben?

    Unsere Software ist mittlerweile seit 2002 auf dem Markt. Damals gab es fast noch nicht das „Problem…

    Leider funktioniert unser CMS nicht mit den Webspaces vom Berliner Hoster STRATO. Wir benötigen dri…

    Gibt es eine kostenlose Lizenz?
    Nein, derzeit nicht. Wir überlegen aber bereits, ob wir eine solche, ggfs. mit Werbung finanzierte L…

    1. markus

      ,

      @e7: Eine kurze Empfangsbestätigung inklusive Hinweis, dass man das nicht sofort fixen könne, hätte ja schon ausgereicht.

  17. Ingo Höft

    ,

    Tja, das gab’s bei der SPD auch. Meinen Newsletter konnte ich unter folgender Adresse erreichen:
    http://www.mrcampaign.com/S1/P3NBER/6XEA3TXY/M/TXT/
    Erst auf meine ganz massive Intervention (mehrere Mails die Hirachie hoch) hat man meinen Newsletter gesperrt. Was mit den Newslettern anderer Empfänger ist, weiss ich nicht.
    Den Datenschutzbeauftragten von Rheinland-Pfalz habe ich am 25.05.2009 per Mail darauf aufmerksam gemacht. Der hat dann am 31.08.2009 per Mail mal nachgefragt, worum es denn überhaupt ginge. Da hab ich geschrieben: „vergiß es“.

  18. Stefan

    ,

    Irgendwie passend zu den Datenlücken mit fortlaufenden Nummern:

    Bahn-Bingo:
    http://media.ndr.de/download/podcasts/podcast2956/AU-20091116–1727-5901.mp3

  19. Sabine Engelhardt (atarifrosch) 's status on Tuesday, 17-Nov-09 13:18:50 UTC - Identi.ca

    ,

    […] http://www.netzpolitik.org/2009/kleines-datenleck-bei-der-cdu-hamburg/ a few seconds ago from xmpp […]

  20. Max

    ,

    „Mit der URL konnte man herumspielen und alle Zahlen zwischen 001 und 705 eingeben. Zahlreiche Zahlen funktionierten nicht mehr, weil anscheinend der Newsletter abbestellt wurde.“

    Als ich das ganze mal getestet hatte, und mich ausgetragen hatte, konnte ich danach immernoch auf meine mailadresse zugreifen. Also wird die DB entweder nur periodisch von den ausgetragenen mails befreit, oder es steckt nochmal eine andere mechanik dahinter.

Dieser Artikel ist älter als 16 Jahre, daher sind die Ergänzungen geschlossen.