Wahlen 2015
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Image

Besucher von Vimentis landeten bei einer «Umleitung aus Sicherheitsgründen».
Screenshot: Piratenpartei.ch

Piraten-Kandidat hackt Wahl-Plattform Vimentis – um auf Sicherheitslücken aufmerksam zu machen

Die Website vimentis.ch wies eine heikle Sicherheitslücke auf. Ein Hacker nutzte sie aus, um die Betreiber zum Handeln zu bewegen. Mit Erfolg.



Wer sich mit Scripts im Internet auskennt, konnte bis vor kurzem auf die Wahlplattform vimentis.ch eindringen und Schabernack treiben. Um Vimentis dazu zu bewegen, die Sicherheitslücke zu schliessen, hat Jonas Witmer genau das getan – und die Seite mit einer Umleitung versehen.

Besucher landeten bei einer Warnungs-Seite der Piratenpartei, wo es hiess:

«Die Seite von Vimentis, die Sie gerade angesurft haben, hat gravierende Sicherheitslücken. Da Vimentis trotz Vorwarnung durch die Piraten diese Lücke, welche Ihre Sicherheit gefährdet, nicht schliesst, haben wir Sie umgeleitet, um auf dieses Problem aufmerksam zu machen.»

Die Aktion zeigte Wirkung. «Alle von mir beanstandeten Lücken sind inzwischen behoben», sagt Witmer, der für die Berner Piratenpartei in den Nationalrat will, zu watson. Wie Daniel Geissmann vom Vimentis-Vorstand bestätigt, sei das Problem 30 Minuten nach dem Hack behoben worden. Weitere Lücken seien eine Woche später geschlossen worden, so Witmer.

«Profile von Nutzern oder Kandidaten hätten manipuliert werden können.»

«Ich habe Vimentis auch dazu aufgefordert, den Quellcode der Seite zu überprüfen», sagt Witmer. Das habe Vimentis gemacht und sei auf weitere Fehler gestossen, die in den nächsten Wochen behoben werden sollen.

Ethische Hacker-Angriffen

Beim Sicherheitsleck handelte es sich um eine sogenannte XSS-Lücke, wie Witmer in einem Blogpost ausführt. Diese erlaubt es jedem, mittels Formular-Eingaben eigene Scripts auszuführen. «Üblicherweise werden durch eine solche Lücke Viren oder Trojaner auf einer Webseite platziert», erklärt Witmer auf Anfrage. «Bei Vimentis hätten so Profile von Nutzern oder Kandidaten manipuliert werden können».

Wenn ein Hacker in ein System eindringt, um auf eine Sicherheitslücke aufmerksam zu machen, spricht man von «Ethical Hacking» oder einer «White Hat»-Operation. Das Portal «IT-Inside» kritisiert das Vorgehen des Hackers: Bei solchen Operationen müsse man den Betroffenen einer Sicherheitslücken eine angemessene Frist gewähren – die Warnfrist von einer Woche sei für ein kleines Portal wie Vimentis zu kurz gewesen.

«Der gläserne Bürger droht Realität zu werden!» Moment – über welches Gesetz haben wir gerade abgestimmt?

Wahlen

Du bist gerade aus dem Koma aufgewacht und hast absolut keine Ahnung, was bei den Wahlen abgegangen ist? Diese zehn Dinge musst du wissen

Link to Article

Die grosse Übersicht: So hat die Schweiz gewählt – Kanton für Kanton

Link to Article

So hat sich Mörgeli innert dreier Jahre ins Aus geklagt: Eine Fehdenorgie in fünf Akten

Link to Article

Die SVP kassiert den Lohn der Angst – die Schweiz lebt sich auseinander

Link to Article

Abonniere unseren Newsletter

Abonniere unseren Newsletter

19
Bubble Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 48 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
19Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • JanWinkler 09.10.2015 23:58
    Highlight Highlight 7 Tage Vorwarnung?? In der Branche sind 90 (!) Tage üblich. Und dieser Massstab gilt für eine Firma, dann kann man ja keine schnellere Behebung von einem ehrenamtlich geführten non-profit Verein wie Vimentis verlangen.

    Zudem macht man nach Ablauf der Frist die Sicherheitslücke publik. Eine Umleitung auf die Seite der Piratenpartei ist natürlich sehr praktisch für die Piraten. Damit haben sie offensichtlich selbst aus der Lücke politisches Kapital geschlagen.
    5 4 Melden
    • atomschlaf 10.10.2015 17:23
      Highlight Highlight 90 Tage sind auch vernünftig, wenn Code angepasst, getestet, etc. werden muss.
      War hier aber offensichtlich nicht der Fall, wenn das Problem innert 30 Minuten(!) behoben werden konnte. Vermutlich eine reine Konfigurationssache.
      Das Problem liegt eindeutig bei Vimentis, wo man offensichtlich glaubte, die Sicherheitslücke inkl. ignorieren, bzw. aussitzen zu können.
      6 2 Melden
    • PewPewPew 11.10.2015 19:53
      Highlight Highlight @atomschlaf: Nein, das war definitiv keine reine Konfigurationssache. Um solche Fehler zu beheben *muss* Code angepasst werden (wenn auch nur wenig).
      1 0 Melden
  • Margi Noser 09.10.2015 21:50
    Highlight Highlight Wahl-Propaganda Natalie Rickli, auch auf Facebook zu finden wie Reimann.

    Solche Vollpfosten will ich nicht in unserer Regierung!
    User Image
    3 7 Melden
  • Margi Noser 09.10.2015 21:48
    Highlight Highlight Wahl-Propaganda Lukas Reimann, zum Kotzen:
    User Image
    2 7 Melden
    • atomschlaf 09.10.2015 23:32
      Highlight Highlight Reimann ist einer der vernünftigsten SVPler. Mir gefällt nicht zuletzt, wie er sich gegen die alten Säcke seiner Partei für Transparenz bei der Parteienfinanzierung einsetzt!
      4 1 Melden
  • Joël Henri Brunner 09.10.2015 18:33
    Highlight Highlight Verfehlte Wahlpropaganda der Piraten, wenn es Ihnen um Sicherheit ginge, müssten wir nicht darüber in den Medien lesen!
    7 8 Melden
  • Don Quijote 09.10.2015 16:20
    Highlight Highlight Lücke hin oder her, ohne Fristsetzung oder Warnung die Seite einfach umzuleiten, ist nicht gerade die netteste Sache. Ausserdem handelt es sich beim "Target" um einen Verein, der gemäss Angaben nur ehrenamtlich arbeitet... Summa summarum keine schöne Sache.

    Und stimmt es, dass die Geschichte schon zwei Wochen alt ist? Und behoben. So who cares?
    8 5 Melden
  • The Destiny // Team Telegram 09.10.2015 15:10
    Highlight Highlight Erstaunlich wie viele Neuländer hier Kommentare schreiben, ihr hättet doch viel lieber einen Virus auf eurem Rechner anstatt eine jetzt sichereren Website <.<
    8 6 Melden
  • Margi Noser 09.10.2015 13:28
    Highlight Highlight Da rief mich eine so dumme Person mit einer Handy-Nummer an (!!!??) und hat mir mit rechtlichen Schritten gedroht.

    Ich habe ihr meine Meinung gegeigt und aufgelegt.

    Ich hatte und habe nämlich NICHTS, rein gar NICHTS zu befürchten. Und warum? Weil ich nur Fakten gepostet habe, vor allem betr. dem widerlichen Umgang der IV mit kranken Menschen, die Lügen der SVP aufgedeckt habe und das ALLES immer unterlegt mit Links der Schweizer Medien, von SRF usw.usf.

    Federführend die SVP - Lukas Reimann, Natalie Rickli, Adrian Amstutz und Co. machen dort unlautere kostenlose Propaganda!!!
    12 11 Melden
  • Hallo123456 09.10.2015 12:19
    Highlight Highlight Ich dachte die Piratenpartei steht für Sicherheit im Internet - anstelle hacken sie eine Plattform wie Vimentis, die Abstimmungs- und Wahlhilfen den Bürgern zur Verfügung stellen.
    11 22 Melden
    • zettie94 09.10.2015 19:55
      Highlight Highlight Und das Resultat? Die Website ist jetzt sicherer!
      12 1 Melden
    • JanWinkler 09.10.2015 23:44
      Highlight Highlight Der Zweck heiligt die Mittel, gell zettie94.
      3 0 Melden
  • SarahM 09.10.2015 12:07
    Highlight Highlight Ethical Hacking - Was genau ist ethisch daran, einen ehrenamtlich arbeitenden Verein für die eigene Wahlpropaganda schlecht zu machen?
    11 15 Melden
  • elivi 09.10.2015 12:00
    Highlight Highlight Eine woche um diesbezüglich stellung zu nehmen oder eine woche um die anfrage zu ignorieren?
    ich würd gar behaubten kleine plattformen sollten schneller reagieren können als grosskonzeren in der die anfrage noch durch x-organisationen laufen muss bevor es die richtige erreicht hat.
    11 4 Melden
  • reputationscoach 09.10.2015 11:24
    Highlight Highlight Dem I...S... sei Dank?! Polizeistaat Nein... rechte Handhabung und Gesetzliche Grundlagen für den präventiven Terror-Schutz von Schweizer Bürgern durch den Nachrichtendienst Ja. Es ist und bleibt ein Spannungsverhältnis. Bleibt nur zu hoffen, dass niemand an entscheidender Stelle die Batterie anschliessen wird! Rechenschaftspflicht gegenüber der Öffentlichkeit ist hier ein Muss.
    2 2 Melden
  • rot123456 09.10.2015 11:12
    Highlight Highlight Hat die Piraten-Partei eigentlich nichts Besseres zu tun als eine ehrenamtliche Organisation wie Vimentis zu hacken? Grundsätzlich nur eine lächerliche, kindische und vor allem nutzlose Aktion dieser Partei. Auf bessere Art und Weise auf sich aufmerksam zu machen, ist denen wohl nicht gelungen.......
    11 18 Melden
  • MK27 09.10.2015 10:55
    Highlight Highlight Wow, sie haben eine gemeinnützige Organisation gehackt - tolle Leistung, damit hat die Piratenpartei aus meiner Sicht jegliche Glaubwürdigkeit verloren.
    8 18 Melden
  • Alf 09.10.2015 10:46
    Highlight Highlight "die Warnfrist von einer Woche sei für ein kleines Portal wie Vimentis zu kurz gewesen."... äh und deswegen konnten sie es in einer halben Stunde beheben? Wow.
    79 2 Melden

Fast wie Tom Cruise in «Minority Report»: Das kann Zürichs Holotram-App

Bei der Tram-Wartung der Stadt Zürich wird eine Augmented-Reality-Brille getestet. Sie soll die Arbeit der Techniker erleichtern.

Das Wichtigste in Kürze:

Ab sofort sind die Mitarbeiter der VBZ-Fahrzeugwartung versuchsweise mit einem digitalen Werkzeug in den Reparaturwerkstätten unterwegs: einer AR-Brille, mit der sie durch das defekte Tram gehen können.

Dabei werden in der Brille die einzelnen Teile leuchtend orange in 3D eingeblendet. Mit einem Klick in die Luft, beziehungsweise auf den eingeblendeten blauen Punkt, erscheinen alle möglichen Informationen dazu, etwa wann das Teil zuletzt gewartet wurde, ob das Ersatzteil …

Artikel lesen
Link to Article