パスワードを忘れた? アカウント作成
15373189 story
EU

Chaos Computer Club、独キリスト教民主同盟には2度と脆弱性を知らせない 73

ストーリー by headless
責任 部門より
Chaos Computer Club (CCC) は 4 日、独キリスト教民主同盟 (CDU) のソフトウェアに脆弱性があっても今後知らせることはないと宣言した (CCC のブログ記事The Register の記事heise online の記事 [1][2])。

発端は 5 月、CCC の活動家 Lilith Wittmann 氏が CDU のキャンペーンアプリ「CDU-connect」のデータベースに格納された大量の個人情報がインターネットで公開状態になっていることを発見したことだ。個人情報には選挙スタッフ18,500人と支持者1,350人のほか、戸別訪問した数十万人の反応を記録したデータも含まれる。Wittmann氏はCDUと当局に責任ある開示を行い、データベースはオフラインとなった。

しかしWittmann氏は3日、CDU-connectアプリに関して容疑者リストに含まれるので住所を連絡するようにとの通知を捜査当局から受け取ったことを明らかにする。CDUのStefan Hennewig氏は被害届がWittmann氏を対象にしたものではないと主張しつつ、Wittmann氏の名前を記載したのは誤りだったと謝罪した。

それでもCCCは将来的な法的問題を回避するため、CDUのシステムに関連する脆弱性の報告は回避せざるを得ないとし、匿名での無責任な脆弱性開示が増えてもCCCの責任ではないと述べている。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2021年08月09日 12時00分 (#4087395)

    「玄関の鍵あいてるで、やばいで(善意)」
    「ワイのシステムにケチつけんなや(360度敵)」

    こんな感じかな? 
    認知の歪みって怖いね。

    • R/3を生み出したIT大国で、まさか日本みたいな対応を取られるとは思わなかったのだろうな。
      親コメント
    • by Anonymous Coward

      不正アクセス禁止法もそれに近い所があるように感じるんだよな。

    • by Anonymous Coward

      倒れている人を助けると訴えられる或いは告発される様な話。
      故に放置するしかない。

      • by Anonymous Coward

        除細動器を正しく使ったが助けられなかった。後日、遺族から「あいつが殺した」って…

        • 女性にAED使うとセクハラで訴えられるみたいなデマもあったよね。

          ただ、そういうデマでも「もしかしたらあり得るかも」と思われる程度には「何の欲目もなく善行をする奴はいない。居たとしたら真正の馬鹿」って風潮はあるのかもしれない。

          親コメント
    • by Anonymous Coward

      報告してくれ、と言っていないのにそれをやっちゃうのはまずいと思うんだけど

      • by Anonymous Coward on 2021年08月09日 13時21分 (#4087427)

        何故?
        何の法にも触れない善意の好意でしょ。

        親コメント
        • by Anonymous Coward

          「はいれたよ」は触れてるだろ

      • by Anonymous Coward on 2021年08月09日 14時01分 (#4087451)

        > (公開されていた)個人情報には選挙スタッフ18,500人と支持者1,350人のほか、戸別訪問した数十万人の反応を記録したデータも含まれる。

        「選挙スタッフ18,500人と支持者1,350人」は自業自得だが、「戸別訪問した数十万人の反応を記録したデータ」がある以上、報告乃至公表せざるを得ない。

        親コメント
    • by Anonymous Coward

      発見者がクラッカーなら情報を売りさばけたのに

  •  アクセス履歴を機械的に出してそのまま被害届出したせいで、こっそり教えてくれた脆弱性報告者も含まれてて迷惑かけた、という流れで良いんだろうか。

     もしそうだとすると、日本で言うところのIPA的な組織を通じて報告してたとしても同じ状況になってしまうような……。

  • by Anonymous Coward on 2021年08月09日 11時55分 (#4087391)

    今後脆弱性を発見しても無責任に匿名で報告するというだけで

    • by Anonymous Coward

      報告すらされずに漏れるたびに毎回メルケルが謝罪すればいいんじゃね

      • by Anonymous Coward

        メルケルは今年予定されている任期限りで政界を引退すると宣言しているのだが、その後も引き摺り出すのか。

        • by Anonymous Coward

          永遠のコールガールだな
          コールに引き立てられただけあって

    • by Anonymous Coward

      なんでわざわざ匿名で報告する必要がある?
      というか脆弱性の報告ってデメリットしかない気がする。

      • by Anonymous Coward

        自分が利用者側なら被害を受けるので、無視はできないかと。

      • by Anonymous Coward

        脆弱性じゃないのでオフトピ
        一昨日、黒い猫の運輸会社に道に落ちてた伝票の束(もちろん顧客の名前、住所、電話番号入り)を連絡したのだが、携帯からだとナビダイヤルしか連絡先がなくこちらが金払ってまでやるべきかとやる気が削がれる。それでも住所と目印は伝えたけど。
        さらに1日以上経ってそのまま放置されてたのを見てバカらしくなった。
        労力も金も善意に頼るなんて何なんだろうな

        • by Anonymous Coward

          ふつうに見つからなかっただけなのでは?
          そこまでするなら素直に交番に紛失物として届けろよ……。

          • 交番に忘れ物を届けに行くと、指紋取られたりして面倒だよね。

            一応遺失物が盗品だった場合、真犯人の指紋と区別するために届出人の指紋を採取するという建前で、あくまで任意とされているけど、何か自分が犯罪者扱いされてるみたいだし、その指紋データ、いつまで、どういう管理されるの?っていうのも不明で気持ちが悪い。

            親コメント
          • by Anonymous Coward

            謝礼金は幾らぐらいになるんだろう???

            • by Anonymous Coward

              クオカードぐらいは貰えそう。

  • by Anonymous Coward on 2021年08月09日 12時05分 (#4087398)

    日本だったら、IPAに報告するのがいいのかな。
    脆弱性に報奨金をかけているようなところなら、直接、報告してもいいと思うけど。

    • by Anonymous Coward

      IPAは未だに情報セキュリティ白書をパスワード付zipで配布してるからなあ……
      しかも、パスワードを得る為の登録サイトをIE/Edge/Chrome/Safari以外は弾く様に作ってある。

      • by Anonymous Coward

        え、マジで!?(Firefox使い)

      • by Anonymous Coward

        変なブラウザまで対応する必要はない
        税金の無駄

        • by Anonymous Coward

          変なブラウザ(Firefox)

          • by Anonymous Coward

            変なブラウザ(Firefox)

            「謎の半導体メーカー(nVIDIA)」なみにウケル

            #NCSA Mosaic からの代々の継続ユーザー

        • by Anonymous Coward

          作ってて結果一部のブラウザで動かないということならその言い分もとおるが、
          あえて弾くようにするのは追加費用だろ

      • by Anonymous Coward

        FirefoxはOSから切り離された独自のSSL監理システム持ってるからでしょうね
        きちんと機能している間は問題ないでしょうが絶対の信頼を置くのは難しいブラウザですよ

        • by Anonymous Coward on 2021年08月09日 15時42分 (#4087500)

          OSから切り離された独自のSSL監理システム

          ってのが何を指すのかはっきりしないのですが、もしMozillaが管理している認証局のリストのことでしたらca-certificatesというパッケージ名で大半のLinuxディストリビューションに標準搭載されているのでマイナーなものではありませんよ。

          IPAの話をしますと、www.ipa.go.jpはApache httpdを使用しているようなので、高い確率でca-certificatesも使用しているでしょう。

          絶対の信頼を置くのは難しい

          と言っているあなたも何かしらca-certificatesの恩恵にあずかっているはずです。

          そもそもMozillaの管理するリストがWindowsのものより信頼性に劣ると主張する根拠がよく分かりません。Mozillaの方は「どこどこの認証局は運用がダメだ」みたいな話を公の場で議論したりしているので、透明性という点ではむしろ優れていると思うのですが…

          親コメント
  • いかにして脆弱性が見つかるか知らない一般人にとっては、ドアノブ弄ってドアが開くことを確認されたように感じるんだろうね。当然そんなことをするのは空き巣狙いの泥棒しかいないという発想に陥り、あの人犯罪者ですと通報される羽目に。

    • by Anonymous Coward

      ドアを開けただけじゃなく家の中に入って情報を持って帰ってるからね。
      持って帰ったものを破棄したか分からないし、それ以外に取っていないかとか、家に何か仕込まれてないかとか心配になるのはしょうがないよ。

  • by Anonymous Coward on 2021年08月09日 13時08分 (#4087423)

    に似ていますね

    • by Anonymous Coward

      最近聞かなかったけどサイバーノーガード戦法だね
      さすがドイツ、恩を仇で返されたほうも黙ってなくて、きっちり反撃した

    • by Anonymous Coward

      やはり日本は最先端

  • by Anonymous Coward on 2021年08月09日 14時18分 (#4087463)

    我々の行ないを最善に導いてはくださらないのですか?

    • by Anonymous Coward

      ヤハウェやエロヒムには邪神な面もある。
      そんな神の子とされるキリストに、そんな事を期待するべきではない。

    • by Anonymous Coward

      天国の鍵のことはペトロに聞くと良い。

typodupeerror

普通のやつらの下を行け -- バッドノウハウ専門家

読み込み中...