Abo
  • IT-Karriere:

WeAct: Datenleck bei Petitionsplattform von Campact

Ein Fehler auf der Petitionsplattform WeAct von Campact ermöglichte den Zugriff auf die Daten der Unterstützer. Rund 1,8 Millionen Unterzeichner sind betroffen. Die Nichtregierungsorganisation hat die Hintergründe des Fehlers veröffentlicht.

Artikel veröffentlicht am ,
Campact demonstriert für Datenschutz und gegen Überwachung.
Campact demonstriert für Datenschutz und gegen Überwachung. (Bild: Johannes Eisele/AFP/Getty Images)

Auf der Petitionsplattform WeAct von Campact können Nutzer eigene Unterschriftenkampagnen starten. Die Initiatoren einer Kampagne können die Liste der Unterstützer als PDF herunterladen. Durch einen Fehler waren diese Dokumente allerdings ungeschützt über das Internet abrufbar. Betroffen sind die Daten von rund 1,8 Millionen Menschen, die Petitionen auf WeAct unterstützt haben.

Stellenmarkt
  1. ec4u expert consulting ag, Karlsruhe, Böblingen bei Stuttgart, München, Düsseldorf
  2. BWI GmbH, München

Die Daten umfassen den Namen, die Postleitzahl sowie teilweise die E-Mail-Adressen. Bei rund 20.000 Unterzeichnern war laut Campact zudem die Antwort auf die Frage enthalten, ob sie einer Gewerkschaft angehören. "Weitere Daten wie Anschriften, Passwörter oder gar Bankdaten waren nicht betroffen", schreibt Campact in einer Erklärung. Die Betroffenen seien per E-Mail informiert worden. Auch die zuständige Datenschutzbehörde sei in Kenntnis gesetzt worden.

Ein Ordner ohne Zugriffschutz

Die Unterschriftenlisten wurden laut Campact in einem Ordner abgelegt, auf den auch ohne eine Identifizierung zugegriffen werden konnte. "Das bedeutet: Wer die exakte Bezeichnung dieser Dateien gekannt hätte, hätte auf sie zugreifen können", schreibt die Organisation in einem Blogbeitrag. Der Hersteller der WeAct-Software setze auf die Amazon-Cloud, aus Datenschutzgründen habe man die Software jedoch auf eigenen Servern mit der zu Amazon S3 kompatiblen Open-Source-Software Minio betrieben. Die Software unterstützt jedoch keine Access Control Lists (ACL), welche wiederum von der WeAct-Software zum Schutz der Dateien eingesetzt wurde.

Der Fehler wurde am 4. Juli von einem technischen Dienstleister bemerkt und laut Campact umgehend behoben. Auch der Hersteller der WeAct-Software, der weltweit mit vielen Nichtregierungsorganisationen zusammenarbeitet, wurde auf den Fehler hingewiesen. Auch dieser hat demzufolge die Lücke behoben und ein Update der Software veröffentlicht. "Nach dem bisherigen Stand unserer technischen Analysen gibt es keinen Hinweis darauf, dass der Fehler ausgenutzt und auf Daten unberechtigt zugegriffen wurde," erklärt Campact. "Sensible persönliche Informationen müssen in unserer digitalisierten Welt geschützt werden. Wir wissen das. Auch, weil wir das von Politik und Konzernen immer wieder vehement fordern. Deshalb schmerzt uns ein Fehler auf unserer Petitionsplattform WeAct besonders."

Erst kürzlich konnten Angreifer bei der Freenet-Tochter Vitrado die Daten von 67.000 Nutzern auslesen. Anfang Juli verlangte die britische Datenschutzbehörde eine Strafzahlung von 200 Millionen Euro von der Fluggesellschaft British Airways für ein Datenleck. In der Begründung wurde auf die "schwachen Sicherheitsvorkehrungen" bei der Airline verwiesen.



Anzeige
Top-Angebote
  1. 239,90€ (Bestpreis!)
  2. 58,90€
  3. 27“ großer NANO-IPS-Monitor mit 1 ms Reaktionszeit und WQHD-Auflösung (2.560 x 1.440)
  4. (u. a. Ghost Recon Wildlands Ultimate Edition für 35,99€, The Banner Saga 3 für 9,99€, Mega...

Abdiel 19. Jul 2019

+1 Wie immer vorbildliche Transparenz von Campact...


Folgen Sie uns
       


Atari Portfolio angesehen

Der Atari Portfolio war einer der ersten Palmtop-Computer der Welt - und ist auch 30 Jahre später noch ein interessanter Teil der Computergeschichte. Golem.de hat sich den Mini-PC im Retrotest angeschaut.

Atari Portfolio angesehen Video aufrufen
Akku-FAQ: Vergesst den Memory-Effekt - vorerst!
Akku-FAQ
Vergesst den Memory-Effekt - vorerst!

Soll man Akkus ganz entladen oder nie unter 20 Prozent fallen lassen - oder garantiert ein ganz anderes Verhalten eine möglichst lange Lebensdauer? Und was ist mit dem Memory-Effekt? Wir geben Antworten.
Von Frank Wunderlich-Pfeiffer

  1. Müll Pfand auf Fahrrad-Akkus gefordert
  2. Akku-FAQ Wo bleiben billige E-Autos?
  3. Echion Technologies Neuer Akku soll sich in sechs Minuten laden lassen

Gemini Man: Überflüssiges Klonexperiment
Gemini Man
Überflüssiges Klonexperiment

Am 3. Oktober kommt mit Gemini Man ein ambitioniertes Projekt in die deutschen Kinos: Mit HFR-Projektion in 60 Bildern pro Sekunde und Will Smith, der gegen sein digital verjüngtes Ebenbild kämpft, betreibt der Actionfilm technisch viel Aufwand. Das Seherlebnis ist jedoch bestenfalls komisch.
Von Daniel Pook

  1. Filmkritik Apollo 11 Echte Mondlandung als packende Kinozeitreise

IT-Sicherheit: Auch kleine Netze brauchen eine Firewall
IT-Sicherheit
Auch kleine Netze brauchen eine Firewall

Unternehmen mit kleinem Geldbeutel verzichten häufig auf eine Firewall. Das sollten sie aber nicht tun, wenn ihnen die Sicherheit ihres Netzwerks wichtig ist.
Von Götz Güttich

  1. Anzeige Wo Daten wirklich sicher liegen
  2. Erasure Coding Das Ende von Raid kommt durch Mathematik
  3. Endpoint Security IT-Sicherheit ist ein Cocktail mit vielen Zutaten

    •  /