  | | Liebe KonApp-Gruppenleiter und -Gruppenleiterinnen,
Anfang Mai wurden wir von einem IT-Experten über eine Sicherheitslücke im Verwaltungsportal der KonApp unter www.konapp.de informiert. Unser IT-Dienstleister hat die Lücke unverzüglich geschlossen und wir haben den Vorgang sofort dem EKD-Datenschutzbeauftragten gemeldet. In Absprache mit der EKD-Datenschutzaufsicht informieren wir Sie als Nutzer über diesen Vorfall.
Wir haben bisher keinen Hinweis darauf, dass diese Sicherheitslücke ausgenutzt wurde.
Was hätte passieren können?
Durch die Sicherheitslücke hätte ein angemeldeter Nutzer (GruppenleiterIn oder Admin) die Möglichkeit gehabt, die Profildaten einzelner Nutzer (GruppenleiterIn oder KonfirmandIn) einer fremden Konfi-Gruppe sowie einzelne Beiträge aus einem fremden Gruppenfeed zu sehen und zu ändern.
Durch diesen Zugriff auf ein fremdes Nutzerprofil hätte ein fremder Aktivierungscode übernommen und in der eigenen Installation der KonApp auf dem Smartphone aktiviert werden können. Dadurch wäre es möglich gewesen, sich in diese fremde Konfigruppen einzuladen und dort Beiträge im Gruppenfeed zu lesen oder unter fremdem Namen Beiträge zu schreiben.
Durch die Lücke war kein Zugriff auf Ihr Benutzerprofil für www.konapp.de möglich. Der persönliche Feed/Tagebuch der Konfis in der App ist davon ebenfalls unberührt, da dieser ausschließlich auf dem lokalen Gerät gespeichert wird.
Wie wäre das aufgefallen?
Bei einer Manipulation dieser Art wäre der/die betroffene KonfirmandIn aus der Gruppe entfernt worden. Er/Sie wäre auf ihrem Smartphone nicht mehr mit ihrer Gruppe verbunden.
Was ist zu tun?
Wir konnten bisher nicht feststellen, dass diese Sicherheitslücke tatsächlich ausgenutzt wurde. Wenn bei Ihnen Konfis aus einer Gruppe gefallen sind und Sie diese nochmals zuordnen mussten, dann melden Sie sich bitte!
Ansprechpartner:
Max Naujoks - konapp@dbg.de - +49 159 01768030
Wir empfehlen Ihnen außerdem sicherheitshalber, Ihr Passwort auf www.konapp.de zu ändern, um eine Manipulation auszuschließen.
Vorabinformation
Beim nächsten Update der App werden die Konfis darüber hinaus generelle Hinweise zum Umgang mit personenbezogen Daten und Datenschutz in digitalen Angeboten erhalten. Sie finden diese vorab hier zum Download. Bitte geben Sie die Hinweise auch an die Eltern Ihrer Konfis weiter.
Wenn Sie weitere Fragen haben, dann kontaktieren Sie uns gerne!
Mit freundlichen Grüßen aus Stuttgart,
Max Naujoks
|  |
|
|
| |
 |
| 
|
