德国一名IT专家发现程序漏洞 善意提醒反被告

一位平时关注数据安全议题的程序员，发现德国执政党基民盟（CDU）的一个名为“CDU-connect-App”的用于组织竞选的手机应用程序存在重大安全漏洞，并善意向该党指出了这些漏洞，但CDU却向警方举报她“窃取”个人信息，使她面临最高可被判刑3年的刑事诉讼。

来自柏林从事软件开发工作的维特曼（Lilith Wittmann）是欧洲最大黑客协会“混沌计算机俱乐部”(Chaos Computer Club，缩写为CCC)成员，CCC拥有近8000名成员，被视为一个以发现数字安全漏洞而闻名的非政府组织。该组织致力于敦促政府在信息自由方面提高透明度。维特曼平时就义务为CCC做一些公益工作，包括检查并举报各种系统的安全漏洞，以避免安全隐患被不法人士利用。

德国的高科技媒体“海斯在线”（heise online）对维特曼进行了采访，她表示自己是今年5月份在推特的讨论上留意到这个应用，她随即联想到会不会出现像去年美国大选中出现的那类竞选系统被涉嫌入侵的问题，于是她开始检查该系统是否存在安全隐患，并且只用了不到3个小时就找出了漏洞，还无意进入了一个几乎没有安全保障的完整数据库，里面有18000多名CDU党工和志愿工作者的个人数据，以及受访民众的观点与年龄信息。

她按照程序首先通知CDU，请对方把这个名叫“CDU-connect”的手机应用下架，然而电话被多次转接后，她被告知，“没人知道该怎么办”，并请她给负责安全的部门写Email。她随后再告知联邦政府的计算机应急小组（CERT-Bund），她也将过程纪录在她的博客文章中。

CDU当时对外承认了这个漏洞，其联邦党部执行长亨内维格（Stefan Hennewig）主动联系维特曼，希望聘请她成为该党的IT安全顾问，但当她拒绝后，对方反而威胁她要举报她的“黑客行为”。

8月3日维特曼收到柏林警察的刑事调查通知。这件事通过CCC的对外声明被外界得知，引起舆论哗然，并且CCC公开宣布今后将对CDU的网络安全漏洞视而不见，以免惹上官司。CDU在隔天公开道歉并撤回投诉，但为时已晚。

目前维特曼通过公开募款2000欧元聘请了辩护律师，她希望能借由此事促成刑法第202条的修正，促进未来的IT安全研究工作。