Gravierende Sicherhetslücken bei Vimentis

© Colin / Wikimedia Commons / CC-BY-SA-4.0
Am 18. September machte ein Mitglied der Piratenpartei Vimentis auf gravierende Sicherheitsmängel aufmerksam. Da die Lücke nach einer Woche weder behoben noch eine Antwort von Vimentis eingegangen war, hat die Piratenpartei die Seite am späten Abend des 25. Septembers auf eine eigene Seite umgeleitet, auf der das für alle Nutzer der Seite potenziel gefährliche Sicherheitsproblem erläutert wird.
Vimentis hat erst auf diese Aktion hin reagiert und uns gebeten, die Weiterleitung zu entfernen. Bereits in den vergangenen Jahren wurde Vimentis auf Sicherheitslücken hingewiesen. Damals konnten Nutzerdaten ausgelesen werden, die jedoch nicht im Klartext vorlagen. Die nun bekannt gewordene Lücke ermöglichte eine Manipulation der Seite auf beliebige Weise. So hätte ein Angreifer allen Besuchern Schadsoftware unterschieben oder die Daten der eingeloggten Benutzer und die Aussagen der Kandidaten beliebig manipulieren können. Einige Lücken wurden von Vimentis inzwischen behoben.
Plattformen wie Vimentis sind für die Wahlen essenziell und müssen deshalb, insbesondere in diesen Tagen, gut gegen Angriffe und Manipulationsversuche geschützt sein. Die träge Reaktion und Kommunikation in Anbetracht der graviereden Sicherheitsmängel kritisiert die Piratenpartei daher scharf. Obwohl hinter der Plattform nur ein Verein steht, müssen grundlegende Datenschutzmasnahmen eingehalten werden. Eine Datenschutzerklärung sucht man auf der Seite übrigens vergebens.
Die Aktion der Piratenpartei hat weder Daten ausgelesen noch verändert. Es ist aber sehr gut möglich, dass andere Personen durch diese eklatante Sicherheitslücke ebendies getan haben. Die Piratenpartei fordert nun eine grundlegende Sicherheitsüberprüfung der Plattform und eine rasche Information der Nutzer, damit diese ihre Angaben prüfen und sicherheitshalber ihr Passwort ändernnnen.