Die CDU-Hamburg betreibt eine Internetseite und bietet dort auch einen Newsletter an. Wir bekamen den Hinweis, dass man als Newsletter-Abonnent leicht Zugriff auf alle anderen eingetragenen Empfänger bekommen kann. Um das auszuprobieren, mussten wir uns anmelden. Das war gar nicht so einfach. Entgegen üblicher Praktiken verschickt das System keine Bestätigungsmail und es gibt auch kein Double-Opt-In-Verfahren. Da kann die CDU-Hamburg glücklich sein, dass sie noch nicht abgemahnt wurde. Erst mit dem verschicken eines Newsletters konnten wir die Datenlücke verifizieren. Jeder Newsletter-Abonnent bekommt eine individuelle Zahl zugeordnet, wie man an URL zum managen des Newsletter-Accounts sehen kann. Ich würde ja gerne die URL hier bloggen, aber dann hat jeder Zugriff auf alle Newsletter-Abonnenten. Also lass ich das mal. Wir hatten die Zahlen 704 und 705, weil wir mangels Bestätigungsmail uns doppelt angemeldet haben. Und daran konnten wir auch erkennen, wie erfolgreich der Newsletter nachgefragt wurde. Interessanterweise fanden wir eine Menge Dubletten von Personen, die sich wahrscheinlich ebenfalls doppelt angemeldet haben.
Mit der URL konnte man herumspielen und alle Zahlen zwischen 001 und 705 eingeben. Zahlreiche Zahlen funktionierten nicht mehr, weil anscheinend der Newsletter abbestellt wurde. Ungefähr die Hälfte der Zahlen klappten und wir konnten schauen, wer den Newsletter mit welcher Mailadresse abonniert hat. Das scheinen bei der CDU-Hamburg vor allem Journalisten aller möglichen Medien zu sein. Mit dem Wissen um die Datenlücke könnte man einige Dinge anfangen. Einerseits ist es möglich, alle Newsletter-Abonnenten einfach durch einen Mausklick abzumelden. Vermutlich würde das mangels Bestätigungsmail niemand bemerken. Man könnte auch einen gefakten Newsletter im Namen der CDU-Hamburg an alle Adressaten mit Links zu Schadsoftware oder anderen Dingen verschicken.
Wir haben der CDU-Hamburg am Sonntag per Mail an die offizielle Kontaktadresse info@cduhamburg.de Bescheid gegeben, auf diese und andere Sicherheitslücken in ihrem System hingewiesen und als Veröffentlichung den heutigen Dienstag angekündigt. Leider haben wir dann nichts mehr gehört. Vielleicht werden die Lücken ja jetzt rasch geschlossen.
Klasse.
Ich gehe mal ganz stark davon aus, dass die Mail eh noch keiner gelesen hat.
Wird vielleicht am nächsten Monatsersten alles ausgedruckt und gelesen
»…vor allem Journalisten aller möglichen Medien…«
Was will ein Qualitätsjournalist™ mit dem Werbe-Neswletter der Regionalstelle einer Partei – Hofberichterstattung?
Die XSS auf der CDU Webseite zu fixen wäre fast wichtiger ;)
„Leider haben wir dann nichts mehr gehört.“
Was erwartest Du? Eine Bestätigungsmail? Warum sollten sie ausgerechnet jetzt damit anfangen…
Die reagieren nicht einmal wenn man ihnen SQL-Injection meldet, über die man seine eigenen News einspeisen kann und sich selber zum Admin aufschwingt.
So wie ich das sehe, ist die Newsletter-Anmeldung jetzt von der Website genommen worden. Vielleicht dachte man bis zu diesem Post, dass ihr nur Spaß macht ;)
Ich hab grad nix zu tun, dann geh ich doch mal so die CDU-Webseiten durch und guck mal was ich so finde :)
Vielleicht kriegt ihr ja heute nen Newsletter von mir :D
oh, sehr schön, ich hoffe das funktioniert auch bei anderen newslettern dieser partei! ich würde mich gerne vom newsletter der csu-würzburg abmelden, bei dem ich mich nie angemeldet habe und es seit 2 jahren nicht schaffe mich abzumelden…
Die suchen noch einen Praktikanten der das Problem fixen kann.
http://cduhamburg.de/deutsch/3360/6256/6256/27002/design1.html
Sieht nicht so aus, als ob die Newsletter-Anmeldung von der Seite genommen worden wäre: http://www.cduhamburg.de/deutsch/748/732/27002/liste9.html
Da findet noch nicht mal ein Test statt – zweimal „test“ eingegeben, jetzt kriegt „test“ in Zukunft den Newsletter :)
mit verlaub – ihr habt nicht „zugriff auf die newsletter-abonnenten“, ihr habt zugriff auf deren mailadressen. schlimm genug, natürlich, aber doch irgendwie ein unterschied.
> […]Leider haben wir dann nichts mehr gehört.[…]
Schätze, bei der CDU ist Mails lesen gerade nicht. Wahrscheinlich weil der Drucker ’nen Papierstau hat.
Da wird sich eh nur der CDU-Anwalt melden, von wegen Hackerangriff usw. ;)
Oder jemand fragt: Brauser? Was ist nochmal ein Brauser?
Das die CDU die Lücken schließt denke ich aber auch nicht, melden werden die sich wie geschätzt wenn über einen Anwalt, aber wirklich was tun… nee, das würde nicht zur CDU passen.
Vielleicht sollten die ein STOP-Schild auf die Seite tun, um böswillige Hackerterroristen abzuhalten.
Das ganze ist ein eingekauftes CMS, das „kann“ man nicht so ohne weiteres ändern. Muss man schön brav auf den Hersteller warten – oder traut ihr der CDU etwa „Raubprogrammierung“ zu? Allerdings funktioniert die Herstellerseite auch nicht so astrein (FAQ als Flash-Filmchen die nicht angezeigt werdem, Captchas werden nicht angezeigt etc.) und die FAQ enthält auch nicht so viele von Qualität zeugende Dinger (zumindest die Überschriften, mehr kann man nicht lesen). Beispiele:
Warum müssen die Sicherheitseinstellungen REGISTER GLOBALS und SAFE_MODE ungenutzt bleiben?
Unsere Software ist mittlerweile seit 2002 auf dem Markt. Damals gab es fast noch nicht das „Problem…
Leider funktioniert unser CMS nicht mit den Webspaces vom Berliner Hoster STRATO. Wir benötigen dri…
Gibt es eine kostenlose Lizenz?
Nein, derzeit nicht. Wir überlegen aber bereits, ob wir eine solche, ggfs. mit Werbung finanzierte L…
@e7: Eine kurze Empfangsbestätigung inklusive Hinweis, dass man das nicht sofort fixen könne, hätte ja schon ausgereicht.
Tja, das gab’s bei der SPD auch. Meinen Newsletter konnte ich unter folgender Adresse erreichen:
http://www.mrcampaign.com/S1/P3NBER/6XEA3TXY/M/TXT/
Erst auf meine ganz massive Intervention (mehrere Mails die Hirachie hoch) hat man meinen Newsletter gesperrt. Was mit den Newslettern anderer Empfänger ist, weiss ich nicht.
Den Datenschutzbeauftragten von Rheinland-Pfalz habe ich am 25.05.2009 per Mail darauf aufmerksam gemacht. Der hat dann am 31.08.2009 per Mail mal nachgefragt, worum es denn überhaupt ginge. Da hab ich geschrieben: „vergiß es“.
Irgendwie passend zu den Datenlücken mit fortlaufenden Nummern:
Bahn-Bingo:
http://media.ndr.de/download/podcasts/podcast2956/AU-20091116-1727-5901.mp3
„Mit der URL konnte man herumspielen und alle Zahlen zwischen 001 und 705 eingeben. Zahlreiche Zahlen funktionierten nicht mehr, weil anscheinend der Newsletter abbestellt wurde.“
Als ich das ganze mal getestet hatte, und mich ausgetragen hatte, konnte ich danach immernoch auf meine mailadresse zugreifen. Also wird die DB entweder nur periodisch von den ausgetragenen mails befreit, oder es steckt nochmal eine andere mechanik dahinter.