Eine triviale Sicherheitslücke führt zum Datenleck

Einer der zentralen Kritikpunkte von Modern Solution an Heinle ist, dass dessen Firma Fluxel ähnliche Dienstleistungen wie Modern Solution selbst anbietet. Er sei weniger ein Programmierer oder ein ethischer Hacker, sondern ein Konkurrent, heißt es in der Stellungnahme von Modern Solution.

Stellenmarkt
  1. IT-Support - PC-Administration und Anwendungsbetreuung (m/w/d)
    Julius Kühn-Institut (JKI) Bundesforschungsinstitut Für Kulturpflanzen, Dossenheim
  2. Manager (m/w/d) Digitalisierung Klinische Anwendungen
    Helios IT Service GmbH, Berlin
Detailsuche

Auch in den Gerichtsakten betont Modern Solution das Konkurrenzverhältnis. Durch eine Ausbildung zum Fachinformatiker bei JTL, für dessen Warenwirtschaftssystem beide Unternehmen Erweiterungen und Anbindungen anbieten, sei es Heinle möglich gewesen, die Sicherheitslücke bei Modern Solution und damit das Datenleck zu entdecken. Die Sicherheitslücke sei derart trivial gewesen, dass keine besonderen Kenntnisse für ihre Entdeckung notwendig gewesen seien.

Laut Heinle hat die Software von Modern Solution eine unverschlüsselte Verbindung zum Datenbankserver des Unternehmens aufgebaut. Dabei seien auch die Login-Daten unverschlüsselt übertragen worden. Aufgefallen sei ihm das Verhalten, sagt Heinle, weil seine Firewall den Zugriff unterbunden und mitgeloggt habe.

Obendrein seien die Zugangsdaten in einer .exe-Datei der .Net-Anwendung von Modern Solution enthalten gewesen. Ein einfacher Aufruf der Datei mit einem Texteditor habe so die Zugangsdaten offenbart. Wohlgemerkt nicht nur für die Datenbanken und Daten des jeweiligen Händlers, der die Software von Modern Solution genutzt hatte, sondern auch zu hunderttausenden Bestellvorgängen bei anderen Händlern.

Golem Karrierewelt
  1. Kubernetes Dive-in-Workshop: virtueller Drei-Tage-Workshop
    19.-21.07.2022, Virtuell
  2. Linux-Systeme absichern und härten: virtueller Drei-Tage-Workshop
    07.-09.06.2022, Virtuell
Weitere IT-Trainings

Mit den Zugangsdaten sei sogar ein Zugriff auf die Groupware und das Ticketsystem von Modern Solution möglich gewesen, sagt Heinle. In einem Satz: Modern Solution hat die Zugangsdaten für seine Datenbankserver mit seiner Software frei Haus verteilt und unverschlüsselt über das Internet übertragen.

Auf Basis des vermeintlichen Insiderwissens und des Konkurrenzverhältnisses unterstellt Modern Solution Heinle eine geschäftsschädigende Intention. Denn nur deshalb habe er sich an Steier mit seinem Blog Wortfilter wenden können und nicht etwa an Behörden oder ausschließlich direkt an Modern Solution.

Andere mögliche Erklärungen zieht Modern Solution offenbar nicht in Betracht. Beispielsweise, dass Heinle nach seinem Fund schnell Unternehmen und Kunden über die Presse informieren wollte und sich selbst durch eine pseudonyme E-Mail-Adresse, mit der er Modern Solution über den Vorfall informierte, aus dem Fadenkreuz nehmen wollte. Im Gegenteil: Modern Solution wirft Heinle explizit seine Pressekontakte vor.

Keine Antwort unter diesen Unternehmen

Dabei habe "Modern Solution nie auf eine meiner E-Mails geantwortet", sagt Heinle zu Golem.de. Weder auf die Mail, mit der er das Unternehmen initial über das Datenleck informierte, noch über eine E-Mail, in der er nach einer weiteren Lücke anbot, über den Fix von Modern Solution zu schauen.

Auch auf Fragen von Golem.de wollte Modern Solution explizit nicht antworten. Da nicht zugesichert worden sei, die bisherige Berichterstattung mit der Stellungnahme von Modern Solution zu überarbeiten und die gestellten Fragen die Richtung, in die sich der Beitrag entwickeln solle, deutlich erkennen ließen, beantworte man keine Presseanfragen von Golem.de, heißt es von Modern Solution. Heinle und Steier beantworteten unsere Fragen und räumten dabei auch eigene Fehler ein.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Auf die Frage, ob sein Pseudonym Moki11so, wie von Steier und von Modern Solution berichtet, für Kill Modern Solution steht, gesteht Heinle ein, dass dies im Nachhinein wohl keine so gute Idee gewesen sei. Es sei spät in der Nacht gewesen, als er ein Pseudonym für die E-Mail-Adresse und seine Meldung gesucht habe, im Hintergrund sei der Kill Bill Soundtrack gelaufen, so habe er sich spontan für das Pseudonym entschieden, erklärt Heinle.

Steier sagt, er habe beim Schwärzen eines Screenshots einen Fehler gemacht. Zwar habe er alle Spalten geschwärzt, aber eine darüberliegende Zeile mit einem Firmennamen übersehen. Ein Fehler, den Modern Solution auch in seiner Stellungnahme erwähnt hat. Nach einem Hinweis habe er das Bild sofort gelöscht und durch eine vollständig geschwärzte Version ersetzt, betont Steier. Da sei ihm ein Fehler passiert, wofür er sich nur entschuldigen könne.

Im Gegensatz dazu möchte sich Modern Solution weder zu dem Datenleck selbst noch zu dessen Behebung äußern. Auch, warum nie auf Heinles E-Mails geantwortet wurde, geschweige denn auf Steiers Anfragen vor der Veröffentlichung, sagt das Unternehmen nicht. Technische Fragen, beispielsweise, warum die Datenbanken nicht voneinander abgeschottet wurden und eine verschlüsselte Verbindung zum Datenbankserver aufgebaut wurde, will Modern Solution ebenfalls nicht beantworten. Doch wie reagieren die Betreiber der Plattformen auf das Datenleck? Immerhin geben diese die Kundendaten an eine Software weiter, die sie nicht schützt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Nach Datenleck bei Modern Solution: Vorwürfe statt EntschuldigungPlattformen ziehen sich aus der Affäre, die Klage läuft weiter 
  1.  
  2. 1
  3. 2
  4. 3
  5.  


golum1321 05. Feb 2022

So sieht es aus. Wer so einen Schrott betreibt und nicht nur hofft damit durchzukommen...

golum1321 05. Feb 2022

Hier doch auch. Wer immer hier von 'ach, Fehler passieren' schwadroniert und den...

golum1321 05. Feb 2022

Nochmal Bullshit, Inkompetenz ist Inkompetenz und Dinge unter den Teppich kehren und die...

golum1321 05. Feb 2022

Sorry, aber dass trifft in diesem Fall nicht zu! Die Fehler in der Programmierung sind...



Aktuell auf der Startseite von Golem.de
Künstliche Intelligenz
Wie erklären Menschen die Entscheidungen von Computern?

Je komplexer eine KI, desto schwerer können Menschen ihre Entscheidungen nachvollziehen. Das ängstigt viele. Doch künstliche Intelligenz ist keine Blackbox mehr.
Von Florian Voglauer

Künstliche Intelligenz: Wie erklären Menschen die Entscheidungen von Computern?
Artikel
  1. Prehistoric Planet: Danke, Apple, für so grandiose Dinosaurier!
    Prehistoric Planet
    Danke, Apple, für so grandiose Dinosaurier!

    Musik von Hans Zimmer, dazu David Attenborough als Sprecher: Apples Prehistoric Planet hat einen Kindheitstraum zum Leben erweckt.
    Ein IMHO von Marc Sauter

  2. Star Wars: Cal Kestis kämpft in Jedi Survivor weiter
    Star Wars
    Cal Kestis kämpft in Jedi Survivor weiter

    EA hat offiziell den Nachfolger zu Star Wars Jedi Fallen Order angekündigt. Hauptfigur ist erneut Cal Kestis mit seinem Roboterkumpel BD-1.

  3. Fahrgastverband Pro Bahn: Wo das 9-Euro-Ticket sicher gilt
    Fahrgastverband Pro Bahn
    Wo das 9-Euro-Ticket sicher gilt

    Die Farbe der Züge ist entscheidend, was bei der Reiseplanung in der Deutsche-Bahn-App wenig nützt. Dafür laufen Fahrscheinkontrollen ins Leere.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 evtl. bestellbar • Prime Video: Filme leihen für 0,99€ • Gigabyte RTX 3080 12GB günstig wie nie: 1.024€ • MSI Gaming-Monitor 32" 4K günstig wie nie: 999€ • Mindstar (u. a. AMD Ryzen 5 5600 179€, Palit RTX 3070 GamingPro 669€) • Days of Play (u. a. PS5-Controller 49,99€) [Werbung]
    •  /