Eine triviale Sicherheitslücke führt zum Datenleck

Einer der zentralen Kritikpunkte von Modern Solution an Heinle ist, dass dessen Firma Fluxel ähnliche Dienstleistungen wie Modern Solution selbst anbietet. Er sei weniger ein Programmierer oder ein ethischer Hacker, sondern ein Konkurrent, heißt es in der Stellungnahme von Modern Solution.

Auch in den Gerichtsakten betont Modern Solution das Konkurrenzverhältnis. Durch eine Ausbildung zum Fachinformatiker bei JTL, für dessen Warenwirtschaftssystem beide Unternehmen Erweiterungen und Anbindungen anbieten, sei es Heinle möglich gewesen, die Sicherheitslücke bei Modern Solution und damit das Datenleck zu entdecken. Die Sicherheitslücke sei derart trivial gewesen, dass keine besonderen Kenntnisse für ihre Entdeckung notwendig gewesen seien.

Laut Heinle hat die Software von Modern Solution eine unverschlüsselte Verbindung zum Datenbankserver des Unternehmens aufgebaut. Dabei seien auch die Login-Daten unverschlüsselt übertragen worden. Aufgefallen sei ihm das Verhalten, sagt Heinle, weil seine Firewall den Zugriff unterbunden und mitgeloggt habe.

Obendrein seien die Zugangsdaten in einer .exe-Datei der .Net-Anwendung von Modern Solution enthalten gewesen. Ein einfacher Aufruf der Datei mit einem Texteditor habe so die Zugangsdaten offenbart. Wohlgemerkt nicht nur für die Datenbanken und Daten des jeweiligen Händlers, der die Software von Modern Solution genutzt hatte, sondern auch zu hunderttausenden Bestellvorgängen bei anderen Händlern.

Mit den Zugangsdaten sei sogar ein Zugriff auf die Groupware und das Ticketsystem von Modern Solution möglich gewesen, sagt Heinle. In einem Satz: Modern Solution hat die Zugangsdaten für seine Datenbankserver mit seiner Software frei Haus verteilt und unverschlüsselt über das Internet übertragen.

Auf Basis des vermeintlichen Insiderwissens und des Konkurrenzverhältnisses unterstellt Modern Solution Heinle eine geschäftsschädigende Intention. Denn nur deshalb habe er sich an Steier mit seinem Blog Wortfilter wenden können und nicht etwa an Behörden oder ausschließlich direkt an Modern Solution.

Andere mögliche Erklärungen zieht Modern Solution offenbar nicht in Betracht. Beispielsweise, dass Heinle nach seinem Fund schnell Unternehmen und Kunden über die Presse informieren wollte und sich selbst durch eine pseudonyme E-Mail-Adresse, mit der er Modern Solution über den Vorfall informierte, aus dem Fadenkreuz nehmen wollte. Im Gegenteil: Modern Solution wirft Heinle explizit seine Pressekontakte vor.

Keine Antwort unter diesen Unternehmen

Dabei habe "Modern Solution nie auf eine meiner E-Mails geantwortet", sagt Heinle zu Golem.de. Weder auf die Mail, mit der er das Unternehmen initial über das Datenleck informierte, noch über eine E-Mail, in der er nach einer weiteren Lücke anbot, über den Fix von Modern Solution zu schauen.

Auch auf Fragen von Golem.de wollte Modern Solution explizit nicht antworten. Da nicht zugesichert worden sei, die bisherige Berichterstattung mit der Stellungnahme von Modern Solution zu überarbeiten und die gestellten Fragen die Richtung, in die sich der Beitrag entwickeln solle, deutlich erkennen ließen, beantworte man keine Presseanfragen von Golem.de, heißt es von Modern Solution. Heinle und Steier beantworteten unsere Fragen und räumten dabei auch eigene Fehler ein.

Auf die Frage, ob sein Pseudonym Moki11so, wie von Steier und von Modern Solution berichtet, für Kill Modern Solution steht, gesteht Heinle ein, dass dies im Nachhinein wohl keine so gute Idee gewesen sei. Es sei spät in der Nacht gewesen, als er ein Pseudonym für die E-Mail-Adresse und seine Meldung gesucht habe, im Hintergrund sei der Kill Bill Soundtrack gelaufen, so habe er sich spontan für das Pseudonym entschieden, erklärt Heinle.

Steier sagt, er habe beim Schwärzen eines Screenshots einen Fehler gemacht. Zwar habe er alle Spalten geschwärzt, aber eine darüberliegende Zeile mit einem Firmennamen übersehen. Ein Fehler, den Modern Solution auch in seiner Stellungnahme erwähnt hat. Nach einem Hinweis habe er das Bild sofort gelöscht und durch eine vollständig geschwärzte Version ersetzt, betont Steier. Da sei ihm ein Fehler passiert, wofür er sich nur entschuldigen könne.

Im Gegensatz dazu möchte sich Modern Solution weder zu dem Datenleck selbst noch zu dessen Behebung äußern. Auch, warum nie auf Heinles E-Mails geantwortet wurde, geschweige denn auf Steiers Anfragen vor der Veröffentlichung, sagt das Unternehmen nicht. Technische Fragen, beispielsweise, warum die Datenbanken nicht voneinander abgeschottet wurden und eine verschlüsselte Verbindung zum Datenbankserver aufgebaut wurde, will Modern Solution ebenfalls nicht beantworten. Doch wie reagieren die Betreiber der Plattformen auf das Datenleck? Immerhin geben diese die Kundendaten an eine Software weiter, die sie nicht schützt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Nach Datenleck bei Modern Solution: Vorwürfe statt EntschuldigungPlattformen ziehen sich aus der Affäre, die Klage läuft weiter 
  1.  
  2. 1
  3. 2
  4. 3
  5.  
Verwandte Artikel
artikel-bild
Nach Datenleck bei Modern Solution
Hausdurchsuchung statt Dankeschön
artikel-bild
Versandhaus
Otto zeigte Bestellungen von anderen Kunden an
artikel-bild
Vergleich nach Datenleck
T-Mobile US will Nutzern 350 Millionen US-Dollar zahlen
Meistgelesen
artikel-bild
Blue Byte
Im Bann der ersten Siedler
artikel-bild
Akkutechnik
Wie Gotion viel Energie ohne Nickel und Kobalt speichert
artikel-bild
Betriebssystem
Tool aktiviert Windows XP jetzt ohne Crack und Internet
Kommentarübersicht
Re: Was ist das für ein unprofessioneller Haufen?!
golum1321 05. Feb 2022

So sieht es aus. Wer so einen Schrott betreibt und nicht nur hofft damit durchzukommen...

Re: Im Heiseforum hat
golum1321 05. Feb 2022

Hier doch auch. Wer immer hier von 'ach, Fehler passieren' schwadroniert und den...

Re: Peinlich
golum1321 05. Feb 2022

Nochmal Bullshit, Inkompetenz ist Inkompetenz und Dinge unter den Teppich kehren und die...

Re: Wer Modern Solutions jetzt nicht rauswirft
golum1321 05. Feb 2022

Sorry, aber dass trifft in diesem Fall nicht zu! Die Fehler in der Programmierung sind...

Aktuell auf der Startseite von Golem.de
Blue Byte
Im Bann der ersten Siedler

Vor 30 Jahren wuselten die ersten Siedler über den Bildschirm. Golem.de hat den Aufbauspiel-Klassiker von Blue Byte neu ausprobiert.
Von Andreas Altenheimer

Blue Byte: Im Bann der ersten Siedler
Artikel
  1. Mikromechanik: Zotac bringt ersten PC mit fast lautlosem MEMS-Lüfter
    Mikromechanik
    Zotac bringt ersten PC mit fast lautlosem MEMS-Lüfter

    Dank Mikromechanik soll Frores Airjet kleiner und leiser sein als Lüfter. Der erste PC damit wird aber recht teuer.

  2. Betriebssystem: Tool aktiviert Windows XP jetzt ohne Crack und Internet
    Betriebssystem
    Tool aktiviert Windows XP jetzt ohne Crack und Internet

    Das Tool Windows XP Keygen funktioniert erstmals auch komplett offline. Das Betriebssystem wird teilweise immer noch verwendet.

  3. Halluzination: ChatGPT erfindet Gerichtsakten
    Halluzination
    ChatGPT erfindet Gerichtsakten

    Ein Anwalt wollte sich von ChatGPT bei der Recherche unterstützen lassen - das Ergebnis ist eine Blamage.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Microsoft Xbox Wireless Controller 40,70€ • Lexar Play 1 TB 99,60€ • DAMN!-Deals mit AMD-Bundle-Aktion • Crucial P5 Plus 1 TB 72€ • MSI RX 7600 299€ • Inno3D RTX 4070 679€ • MindStar: ASRock RX 6800 XT Phantom OC 579€, PowerColor RX 6800 Fighter 489€ • Logitech bis -46% [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /