Ungewollte Bürgernähe: Unsichere Konferenz-App verrät Tory-Telefonnummern
Die Parteitags-App der britischen Tories lässt eine Anmeldung per E-Mail-Adresse zu – ohne Passwort. Profile der Politiker samt Telefonnummer waren im Zugriff.
(Bild: Kevin Beaumont / twitter.com)
Eine gravierende Sicherheitslücke in der offiziellen Smartphone-App zum Parteitag der britischen Konservativen Partei (Tories genannt) hat persönliche Daten hunderter Teilnehmer der Veranstaltung offen zugänglich gemacht, darunter deren Mobiltelefonnummern. Man musste sich lediglich mit der leicht zu erratenden E-Mail-Adresse eines Politikers in der App anmelden und hatte Zugriff auf dessen Teilnehmerprofil – ein Passwort war nicht erforderlich. Das berichtet der Guardian.
Anmelden ohne Passwort, alle Daten im Zugriff
In der App sind die Profile hunderter Tory-Politiker enthalten, darunter Kabinettsminister sowie der erst kürzlich als Außenminister zurückgetretene Boris Johnson. Viele Teilnehmer hätten offenbar ihre parlamentarische E-Mail-Adresse benutzt, die öffentlich bekannt ist. Wer sich damit angemeldet hatte, konnte die Profildaten des betreffenden Teilnehmers einsehen, ändern oder das Profilbild austauschen. Kabinettsmitglieder sollen daraufhin Ziel von Telefonstreichen geworden sein.
Unfug mit Profilbildern
Wie der Guardian schreibt, soll etwa das Profilbild von Johnson kurzzeitig durch ein pornografisches Bild ersetzt worden sein, und das von Umwelt- und Ernährungsminister Michael Gove soll durch eines von Ruport Murdoch ersetzt worden sein (dessen früherer Arbeitgeber bei der Times).
Die Guardian-Kolumnistin Dawn Foster hatte am Samstag als eine der ersten auf die Lücke aufmerksam gemacht und Beispiele auf Twitter gespostet (die inzwischen teilweise nicht mehr zugänglich sind). Daraufhin wurde der Fehler behoben, die Conservative Party antwortete Foster in einem Statement und bezeichnete den Vorfall als "technischen Fehler".
Externer Dienstleister übernimmt Verantwortung
Die Partei macht den auf Veranstaltungsorganisation spezialisierten australischen Dienstleister CrowdComms für den Vorfall verantwortlich. Dieses Unternehmen veröffentliche seinerseits am Sonntag eine Nachricht, in der es den Vorfall eingestand und um Entschuldigung bat. Die Lücke sei bereits nach 30 Minuten geschlossen worden, habe wahrscheinlich nur eine kleine Zahl von Teilnehmern betroffen und man wolle die Betroffenen informieren. Außerdem werde CrowdComms pflichtgemäß die britische Datenschutzbehörde ICO über den Datenverlust informieren. Das Unternehmen äußerte sich nicht dazu, warum eine derart schwerwiegende Lücke nicht durch Tests vor der Veröffentlichung entdeckt wurde.
In einem zweiten Bericht schreibt der Guardian, der Zorn der konservativen Politiker richte sich vor allem gegen den Parteivorsitzenden Brandon Lewis, der für die Veranstaltung zuständig sei. Außerdem merkten Teilnehmer an, die Anmeldung zum Parteitag sichere zwar die Vertraulichkeit aller überlassenen Daten zu und schließe eine Nutzung durch Dritte aus. In der fraglichen App jedoch habe man keine andere Wahl, als der Übermittlung seiner Daten an Dritte zur Nutzung durch CrowdComms zuzustimmen. (tiw)
