De Duitse politie is een onderzoek gestart naar it-expert Lilith Wittmann, nadat zij verschillende kwetsbaarheden in een app van de Duitse politieke partij CDU ontdekte en rapporteerde. Het CDU had eerder al juridische stappen aangekondigd. Wittmann, ook lid van de Duitse Chaos Computer Club (CCC), volgde responsible disclosure bij het melden van het beveiligingslek. De CCC heeft nu besloten om voortaan geen kwetsbaarheden meer aan het CDU te melden, zo heeft de vereniging bekendgemaakt.

Het CDU lanceerde in 2017 de app CDU Connect, die verkiezingsmedewerkers moet ondersteunen. Zo kan er via de app data over potentiële kiezers en critici worden verzameld. Alle data in de backend van de app was voor iedereen op internet toegankelijk. Het ging om de persoonlijke data van ruim 18.000 mensen die met de verkiezingscampagnes van het CDU hielpen, waaronder e-mailadres, adresgegevens en foto's. Verder stond in de database ook de persoonlijke data van 1350 CDU-supporters, zoals hun adresgegevens, geboortedata en interesses.

Wittmann rapporteerde de kwetsbaarheden aan het CDU en deed ook melding bij de Duitse overheid en de privacytoezichthouder van Berlijn. Volgens de onderzoeker volgde ze responsible disclosure, maar gisteren meldde ze op Twitter dat er een klacht tegen haar was ingediend en de Duitse politie een onderzoek is gestart. Volgens de CCC is er sprake van "Shooting the messenger" en heeft de partij het herenakkoord rondom responsible disclosure eenzijdig opgezegd en zal de CCC daarom geen kwetsbaarheden meer in de systemen van het CDU rapporteren.