headless 曰く、

Chaos Computer Club (CCC) は 4 日、独キリスト教民主同盟 (CDU) のソフトウェアに脆弱性があっても今後知らせることはないと宣言した( CCC のブログ記事、 The Register の記事、 heise online の記事 [1]、 [2] )。

発端は 5 月、CCC の活動家 Lilith Wittmann 氏が CDU のキャンペーンアプリ「CDUConnect」のデータベースに格納された大量の個人情報がインターネットで公開状態になっていることを発見したことだ。個人情報には選挙スタッフ18,500人と支持者1,350人のほか、戸別訪問した数十万人の反応を記録したデータも含まれる。Wittmann氏はCDUと当局に責任ある開示を行い、データベースはオフラインとなった。

しかしWittmann氏は3日、CDUConnectアプリに関して容疑者リストに含まれるので住所を連絡するようにとの通知を捜査当局から受け取ったことを明らかにする。CDUのStefan Hennewig氏は訴状がWittmann氏を対象にしたものではないと主張しつつ、Wittmann氏の名前を記載したのは誤りだったと謝罪した。

それでもCCCは将来的な法的問題を回避するため、CDUのシステムに関連する脆弱性の報告は回避せざるを得ないとし、匿名での無責任な脆弱性開示が増えてもCCCの責任ではないと述べている。