CDU'da güvenlik sızıntısı: Adayların isimleri kamuya açık

hadicanim

hadicanim

Aktif Üye


  1. CDU'da güvenlik sızıntısı: Adayların isimleri kamuya açık

Almanya Hıristiyan Demokrat Birliği'nin başka bir BT güvenlik sorunu daha var. Son zamanlarda profesyonel saldırganların BT güvenliği tedarik zincirindeki güvenlik boşluklarından yararlanarak partinin hayatını zorlaştırmasının ve çevrimiçi aktivistlerin oylarını kasıtlı olarak kullanmasının ardından, CDU'nun artık klasik bir veri sızıntısı var: Konrad Adenauer Meclisi'ndeki pozisyonlar için 4.800'den fazla başvuranın isimleri ve CDU şubelerine serbestçe erişilebiliyordu ve CDU'nun bundan haberi olmadığı açıktı.


Reklamcılık



Şu anda keşfedilen veri sızıntısının suç faaliyetleriyle hiçbir ilgisi yok: CDU lideri Friedrich Merz'in bilişim altyapısına yönelik saldırı olarak adlandırdığı gibi, “Almanya'daki bir siyasi partinin bugüne kadar karşılaştığı en ciddi saldırının” aksine. Konrad Adenauer House'un sıfır gün açıklarından faydalanarak gerçekleştiği söylenen veri sızıntısının artık tamamen ev yapımı bir sorun olduğu ortaya çıktı.

4870 başvuranın adı herkesin görebileceği şekilde


CDU'nun uygulama platformu ve yapıları Drupal'a dayanmaktadır. Bu, kullanıcı adlarının, URL aracılığıyla bir işlev çağrılarak bir hesap listesi işlevi aracılığıyla görüntülenebileceği şekilde yapılandırıldı: toplam 4870 giriş. Kaynak koduna göre, jobs.cdu.de sayfası için kullanılan Drupal, CDU'nun kendi hizmet sağlayıcısı Union Betriebs-GmbH'nin şablonlarını kullanıyordu.

Başvuru sahipleri hakkında ad ve soyadları dışında daha fazla bilgi kamuya açıklanmadı. Ancak insanların CDU'daki veya alt bölümlerindeki işlerle ilgilenmesi bile Genel Veri Koruma Yönetmeliği (GDPR) anlamında hassas ve özellikle hassas bir kişisel özelliktir.

CDU, Haberler Online'dan gelen ihbarın ardından platformu kapattı


CDU basın sözcüsü, Salı günü öğleden sonra Haberler Online'dan gelen ve editoryal son teslim tarihine kadar bir açıklama yapılması yönündeki talebe yanıt vermedi. Ancak saat 16:30'da CDU iş platformunu bir bütün olarak bakım moduna geçirdi. Ancak bundan önce, başvuru sahibine genel bakışın bağlantısı birkaç gündür ilgili web sitelerinde dolaşıyordu.

Taraflar için veri korumasından sorumlu denetleyici makam, Berlin Eyaleti Veri Koruma Komiseri'dir. Olay o zamandan beri onlar tarafından biliniyor.

En eski girişler neredeyse on yıl öncesine ait


Veri sızıntısına dahil olan kişilerin ifadelerine göre, CDU'daki işlerle ilgilenenler için self-servis platform yaklaşık 2016'dan beri aktif; en eski girişler görünüşe göre o zamana ait. Geçtiğimiz birkaç aydaki daha yeni girişler de platformda halka açıktı. Haberler Online tarafından yapılan bir testin gösterdiği gibi, profilin e-posta adresi kullanıcı tarafından onaylanır onaylanmaz, başvuran profiller listesinde yeni kayıtlar hemen belirdi.







Aday isimlerinin listesi CDU'da kamuya açıktı. (Test hesabında düzenleme yapılmadı)


(Resim: Falk Steiner / Haberler çevrimiçi (Ekran görüntüsü))



CDU'nun geçmişte çevrimiçi uygulamalarının BT güvenliğiyle ilgili sorunları vardı. CDU'nun Berlinli aktivist Lilith Wittmann'a karşı suç duyurusunda bulunmasının ardından, bu şikayetin sonuçsuz kalması üzerine Kaos Bilgisayar Kulübü, keşfettiği herhangi bir güvenlik açığını artık CDU'ya bildirmeyeceğini duyurdu.


(olb)



Haberin Sonu
 
Cevap yazmak için giriş yap yada kayıt ol.
Üst