WeAct: Datenleck bei Petitionsplattform von Campact

Ein Fehler auf der Petitionsplattform WeAct von Campact ermöglichte den Zugriff auf die Daten der Unterstützer. Rund 1,8 Millionen Unterzeichner sind betroffen. Die Nichtregierungsorganisation hat die Hintergründe des Fehlers veröffentlicht.

Artikel veröffentlicht am ,
Campact demonstriert für Datenschutz und gegen Überwachung.
Campact demonstriert für Datenschutz und gegen Überwachung. (Bild: Johannes Eisele/AFP/Getty Images)

Auf der Petitionsplattform WeAct von Campact können Nutzer eigene Unterschriftenkampagnen starten. Die Initiatoren einer Kampagne können die Liste der Unterstützer als PDF herunterladen. Durch einen Fehler waren diese Dokumente allerdings ungeschützt über das Internet abrufbar. Betroffen sind die Daten von rund 1,8 Millionen Menschen, die Petitionen auf WeAct unterstützt haben.

Stellenmarkt
  1. SAP BW / 4HANA Berater (m/w/x)
    über duerenhoff GmbH, Raum München
  2. IT-System Engineer - Endpoint Management
    Universitätsklinikum Frankfurt, Frankfurt am Main
Detailsuche

Die Daten umfassen den Namen, die Postleitzahl sowie teilweise die E-Mail-Adressen. Bei rund 20.000 Unterzeichnern war laut Campact zudem die Antwort auf die Frage enthalten, ob sie einer Gewerkschaft angehören. "Weitere Daten wie Anschriften, Passwörter oder gar Bankdaten waren nicht betroffen", schreibt Campact in einer Erklärung. Die Betroffenen seien per E-Mail informiert worden. Auch die zuständige Datenschutzbehörde sei in Kenntnis gesetzt worden.

Ein Ordner ohne Zugriffschutz

Die Unterschriftenlisten wurden laut Campact in einem Ordner abgelegt, auf den auch ohne eine Identifizierung zugegriffen werden konnte. "Das bedeutet: Wer die exakte Bezeichnung dieser Dateien gekannt hätte, hätte auf sie zugreifen können", schreibt die Organisation in einem Blogbeitrag. Der Hersteller der WeAct-Software setze auf die Amazon-Cloud, aus Datenschutzgründen habe man die Software jedoch auf eigenen Servern mit der zu Amazon S3 kompatiblen Open-Source-Software Minio betrieben. Die Software unterstützt jedoch keine Access Control Lists (ACL), welche wiederum von der WeAct-Software zum Schutz der Dateien eingesetzt wurde.

Der Fehler wurde am 4. Juli von einem technischen Dienstleister bemerkt und laut Campact umgehend behoben. Auch der Hersteller der WeAct-Software, der weltweit mit vielen Nichtregierungsorganisationen zusammenarbeitet, wurde auf den Fehler hingewiesen. Auch dieser hat demzufolge die Lücke behoben und ein Update der Software veröffentlicht. "Nach dem bisherigen Stand unserer technischen Analysen gibt es keinen Hinweis darauf, dass der Fehler ausgenutzt und auf Daten unberechtigt zugegriffen wurde," erklärt Campact. "Sensible persönliche Informationen müssen in unserer digitalisierten Welt geschützt werden. Wir wissen das. Auch, weil wir das von Politik und Konzernen immer wieder vehement fordern. Deshalb schmerzt uns ein Fehler auf unserer Petitionsplattform WeAct besonders."

Golem Karrierewelt
  1. Jira für Systemadministratoren: virtueller Zwei-Tage-Workshop
    08./09.09.2022, virtuell
  2. Container Technologie: Docker und Kubernetes - Theorie und Praxis: virtueller Drei-Tage-Workshop
    04.-07.07.2022, virtuell
Weitere IT-Trainings

Erst kürzlich konnten Angreifer bei der Freenet-Tochter Vitrado die Daten von 67.000 Nutzern auslesen. Anfang Juli verlangte die britische Datenschutzbehörde eine Strafzahlung von 200 Millionen Euro von der Fluggesellschaft British Airways für ein Datenleck. In der Begründung wurde auf die "schwachen Sicherheitsvorkehrungen" bei der Airline verwiesen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Ron Gilbert
Chefentwickler von Monkey Island sauer auf Community

"Die Leute sind gemein": Ron Gilbert, Chefentwickler von Return to Monkey Island, reagiert auf Kritik am Grafikstil des Adventures.

Ron Gilbert: Chefentwickler von Monkey Island sauer auf Community
Artikel
  1. JD Power: Elektrofahrzeughersteller haben ernste Qualitätsprobleme
    JD Power
    Elektrofahrzeughersteller haben ernste Qualitätsprobleme

    Die Neuwagenkäufer sind nach einer Befragung von JD Power bei Polestar und Tesla besonders unzufrieden mit der Qualität. Sieger ist Buick.

  2. CD Projekt Red: Ursachenforschung über Bugs in Cyberpunk 2077
    CD Projekt Red
    Ursachenforschung über Bugs in Cyberpunk 2077

    War ein Dienstleister schuld an den massiven Fehlern in Cyberpunk 2077? Darauf deutet ein umfangreicher, aber umstrittener Leak hin.

  3. Elektroauto: BMW i3 kommt in einer Schlussphasen-Edition
    Elektroauto
    BMW i3 kommt in einer Schlussphasen-Edition

    BMW hat eine Viertelmillion i3 gebaut, doch nun wird das Auto eingestellt. Zuvor gibt es eine Sonderedition.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • LG UltraGear 27" WQHD 165 Hz 299€ • Switch OLED günstig wie nie: 333€ • MindStar (MSI Optix 27" WQHD 165 Hz 249€, MSI RX 6700 XT 499€) • Alternate (SSDs & RAM von Kingston) • Grafikkarten zu Toppreisen • PNY RTX 3080 12GB günstig wie nie: 929€ • Top-TVs bis 53% Rabatt [Werbung]
    •  /