Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

Panne in der WeAct-Software von Campact

winnigorny1 / 11 Antworten / Baumansicht Nickles

Bei Campact trat ein Fehler in der WeAct-Software auf; am 4. Juli. Dadurch war es möglich, auf E-Mail-Aderessen, Postleitzahl und Namen der Teilnehmer zuzugreifen.

Laut Campact ist aber kein mißbräuchlicher Zugriff erfolgt...

Inwieweit kann man dem vertrauen? - Wahrscheinlich eher gar nicht.... Hier der Inhalt der Mail:

"Ihr Name, Ihre E-Mail-Adresse, Ihre Postleitzahl - das sind sensible persönliche Informationen. In unserer digitalisierten Welt müssen sie geschützt werden. Wir wissen das. Und wir tun viel dafür, dass Ihre Daten bei uns sicher sind. Auch, weil wir das von Politik und Konzernen immer wieder vehement fordern. Deshalb schmerzt uns ein Fehler auf unserer Petitionsplattform WeAct besonders, über den wir Sie heute informieren müssen.

Was ist passiert?

Am 4. Juli 2019 hat uns unser technischer Dienstleister auf einen Fehler auf der Seite WeAct hingewiesen. WeAct ist unsere Petitionsplattform, auf der jede*r Bürger*in einen eigenen Appell starten kann. Der Fehler bewirkte, dass personenbezogene Daten von knapp zwei Millionen WeAct-Unterstützer*innen unzureichend vor einem möglichen unberechtigten Zugriff geschützt waren. Es handelte sich um den Namen und die Postleitzahl sowie teilweise die E-Mail-Adresse. In Ihrem Fall betroffen waren Ihr Vor- und Zuname, Ihre Postleitzahl sowie Ihre E-Mail-Adresse.

Hat eine unberechtigte Person nun Ihre Daten?

Nach dem bisherigen Stand unserer technischen Analysen gibt es keinen Hinweis darauf, dass der Fehler ausgenutzt und auf Ihre Daten unberechtigt zugegriffen wurde. Sollte es hier eine neue Entwicklung geben, wovon wir aber nicht ausgehen, informieren wir Sie umgehend.

Was haben wir unternommen?

Das technische Problem wurde sofort nach Bekanntwerden behoben. Wir haben natürlich die zuständige Datenschutzbehörde informiert. Und wir haben begonnen, die Gründe für den Fehler und das Ausmaß des Fehlers zu untersuchen. Außerdem hat unser technischer Dienstleister umgehend den Hersteller der WeAct-Software informiert. Dieser arbeitet weltweit mit zahlreichen weiteren NGOs zusammen. Innerhalb kürzester Zeit wurde für alle ein Update veröffentlicht, das das Problem behebt.

Wir sind froh, dass bisher nichts darauf hinweist, dass Daten gestohlen wurden. Trotzdem handelt es sich um einen Fehler, der nicht hätte passieren dürfen. Wir möchten uns für dieses Versäumnis bei Ihnen entschuldigen und hoffen darauf, dass Sie unsere Entschuldigung annehmen.

Wir arbeiten intensiv daran, dass es nicht mehr zu einem solchen Problem kommen kann. Dazu überprüfen wir mit unserem Datenschutzbeauftragten, unseren technischen Dienstleistern und anderen versierten Expert*innen unsere Abläufe und alle Sicherheitsvorkehrungen.

Sollten Sie noch Fragen haben, dann schreiben Sie uns an frage@campact.de. Wir freuen uns auf Ihre Nachricht! Da wir viele Nachfragen erwarten, haben Sie bitte Verständnis dafür, wenn wir diesmal für eine Antwort länger brauchen als üblich.

Sie dürfen von uns erwarten, dass Ihre Daten sicher sind, wenn Sie eine WeAct-Petition unterzeichnen. Wir tun alles, damit das so ist.

Mit herzlichen Grüßen

Dr. Felix Kolb, Campact-Vorstand
Lisa Reichmann, Teamleiterin WeAct"

Was sollte man tun? Paßwörter ändern wird in diesem Fall ja wohl nicht nötig sein, oder?

Im Zweifelsfall muss man aber wohl mit vermehrtem Spam-Aufkommen rechnen?

Und wenn's dicke kommt, kriegt man u. U. Droh- und Haßmails....

Bin da etwas ratlos.

Gruss aus dem schoenen Hamburg, Winni
bei Antwort benachrichtigen
fbe winnigorny1 „Panne in der WeAct-Software von Campact“
Optionen
Wir sind froh, dass bisher nichts darauf hinweist, dass Daten gestohlen wurden.

Die wurden nicht gestohlen sondern nur kopiert. ;-)

bei Antwort benachrichtigen
gelöscht_327925 fbe „Die wurden nicht gestohlen sondern nur kopiert. -“
Optionen
Die wurden nicht gestohlen sondern nur kopiert. ;-)

Nett...

btw: Hattest du inzwischen Zeit um beim ACER ein Supervisor Passwort zusetzen ;-)

bei Antwort benachrichtigen
fbe gelöscht_327925 „Nett... btw: Hattest du inzwischen Zeit um beim ACER ein Supervisor Passwort zusetzen -“
Optionen
Hattest du inzwischen Zeit um beim ACER ein Supervisor Passwort zusetzen ;-)

Ja. Konnte aber aus Zeitgründen noch nicht weitermachen. Der Acer ist noch nicht voll im Einsatrz ;-)

bei Antwort benachrichtigen
winnigorny1 fbe „Ja. Konnte aber aus Zeitgründen noch nicht weitermachen. Der Acer ist noch nicht voll im Einsatrz -“
Optionen
Der Acer ist noch nicht voll im Einsatrz ;-)

Irgendwie aber schon ein wenig Off Topic, gelle? Zunge raus

Aber mal im Ernst. - Muss ich da jetzt überhaupt irgendwie aktiv werden? Ich denke nicht. Da ich eine kommerzielle Website betreibe, ist meine Anschrift, mein Name und meine E-Mail-Adresse ohnehin öffentlich....

Gruss aus dem schoenen Hamburg, Winni
bei Antwort benachrichtigen
swiftgoon winnigorny1 „Panne in der WeAct-Software von Campact“
Optionen
Was sollte man tun? Paßwörter ändern wird in diesem Fall ja wohl nicht nötig sein, oder?

Auf der Campact Seite hast du doch gar kein Passwort vergeben, oder?

Deine Adresse, e-mail Adresse, Telefon-Nr. und  Klarnamen kann man aufgrund deiner Signatur in 2 klicks herausfinden wenn man will. Also Wayne...
Wird nicht die letzte Datenbank sein, die gehackt wird.

Gruß swiftgoon

bei Antwort benachrichtigen
winnigorny1 swiftgoon „Auf der Campact Seite hast du doch gar kein Passwort vergeben, oder? Deine Adresse, e-mail Adresse, Telefon-Nr. und ...“
Optionen
Auf der Campact Seite hast du doch gar kein Passwort vergeben, oder?

Nö. - Alles klar, soweit, danke!

Gruss aus dem schoenen Hamburg, Winni
bei Antwort benachrichtigen
Olaf19 swiftgoon „Auf der Campact Seite hast du doch gar kein Passwort vergeben, oder? Deine Adresse, e-mail Adresse, Telefon-Nr. und ...“
Optionen

Moin Swift,

Auf der Campact Seite hast du doch gar kein Passwort vergeben, oder?

Man braucht aber doch ein Passwort für Campact, um an Online-Petitionen teilzunehmen und benutzt dieses auf der Website von Campact?

Ich habe gleichzeitig mit Winnigorny eine gleichlautende Nachricht erhalten und war "not amused"...

CU
Olaf

Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
winnigorny1 Olaf19 „Moin Swift, Man braucht aber doch ein Passwort für Campact, um an Online-Petitionen teilzunehmen und benutzt dieses auf ...“
Optionen
Man braucht aber doch ein Passwort für Campact,

Meines Wissens nicht. - Nur mit der E-Mail-Adresse kann man sich da einloggen um teilzunehmen. Man meldet sich einmal mit Namen, Adresse und E-Mail an und dann wird man beim Start einer neuen Online-Petition per Mail informiert, klickt auf den Link und unterzeichnet, wenn man die Petition unterstützen will.

war "not amused"...

... ich auch nicht. Und ansonsten erfährt man nichts weiteres von Campact. Die Informationen, die die geben, sind eher dürftig.....

Gruss aus dem schoenen Hamburg, Winni
bei Antwort benachrichtigen
swiftgoon Olaf19 „Moin Swift, Man braucht aber doch ein Passwort für Campact, um an Online-Petitionen teilzunehmen und benutzt dieses auf ...“
Optionen

Moin Olaf,

so wie ich das sehe wird zum unterzeichnen einer Petition kein PW benötigt.

Ob es auf der Seite auch Benutzerkonten mit Login gibt, kann ich nicht testen.
Die bauen Ihre Seite aufgrund des Leaks wohl gerade um.

https://www.campact.de/campact/ueber-campact/datenaenderung-derzeit-nicht-moeglich/

Gruß swiftgoon

bei Antwort benachrichtigen
winnigorny1 swiftgoon „Moin Olaf, so wie ich das sehe wird zum unterzeichnen einer Petition kein PW benötigt. Ob es auf der Seite auch ...“
Optionen
kein PW benötigt.

Korrekt.- Wie ich schon oben schrieb. Vor- und Zuname, E-Mail-Adresse und - kleine Korrektur - nicht Anschrift, sondern ausschließlich die Postleitzahl ist vonnöten. Das wird beim ersten Unterzeichnen einer Petition abgefragt und gespeichert und dann muss man sich nur noch über den Link von E-Mail-Benachrichtigungen zu einer Petition einloggen.

Wer allerding ein Unterzeichnen via Facebook oder Google gewählt hat, sollte wohl u.U. seine dortigen Paßwörter ändern. - Diese Wahl aber gab es vor Jahren, als ich dort einstieg, überhaupt noch nicht....

Gruss aus dem schoenen Hamburg, Winni
bei Antwort benachrichtigen
Olaf19 swiftgoon „Moin Olaf, so wie ich das sehe wird zum unterzeichnen einer Petition kein PW benötigt. Ob es auf der Seite auch ...“
Optionen

OK, dann habe ich das evtl. verkehrt in Erinnerung.

Ich habe immer dann unterzeichnet, wenn ich per E-Mail auf eine neue Petition aufmerksam gemacht wurde. Das sah für mich so aus wie: der Link aus der E-Mail erhält bereits ein personalisiertes Login inkl. meinem Passwort, so dass ich das nicht mehr neu eingeben muss. Hätte ich dagegen die Petition direkt auf der Website aufgerufen, so mein Gedanke, dann hätte ich mich erst einmal einloggen müssen.

Aber laut Screenshot reichen da wirklich rudimentäre Angaben zur Person plus Mailadresse.

THX
Olaf

Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen