myGully.com

myGully.com (https://mygully.com/index.php)
-   News (https://mygully.com/forumdisplay.php?f=390)
-   -   [Brisant] Sicherheitslücke gemeldet: Modern Solution bringt IT-Experten nun doch vor Gericht (https://mygully.com/showthread.php?t=7429737)

ziesell 17.08.23 17:43
Sicherheitslücke gemeldet: Modern Solution bringt IT-Experten nun doch vor Gericht
 
Zitat:
Sicherheitslücke gemeldet: Modern Solution bringt IT-Experten nun doch vor Gericht

Einem IT-Experten, der vor einiger Zeit eine Sicherheitslücke bei Modern Solution gemeldet hat, droht ein Strafverfahren vor dem Amtsgericht Jülich.

https://www.golem.de/2308/176827-396809-396808_rc.jpg

Ein Softwareentwickler, der im Juni 2021 eine Sicherheitslücke in einem IT-System des Gladbecker Dienstleisters Modern Solution entdeckt und gemeldet hat, muss sich nun doch einem Strafverfahren vor dem Amtsgericht Jülich stellen. Durch ein im Klartext hinterlegtes Passwort, das umfassende Datenbankzugriffe ermöglichte, waren damals Daten von mehr als 700.000 Kunden verschiedener Online-Marktplätze wie Check24, Idealo, Kaufland und Otto unzureichend vor Zugriffen durch Unbefugte geschützt.

Damals meldete der Entwickler das Problem an Modern Solution und ging damit an die Öffentlichkeit, nachdem das Unternehmen es behoben hatte. Doch Dank erntete er dafür nicht – stattdessen folgte eine Anzeige, die unter anderem eine Hausdurchsuchung in seiner Firma nach sich zog. Seine technische Ausstattung wurde dabei beschlagnahmt. Der Grund für diese Aktion: Er habe sich selber im Rahmen der Aufdeckung unrechtmäßig Zugang zu den Kundendaten verschafft.

Entwickler überwand bewusst technische Barrieren

Wie Heise Online berichtet, hatte der für den Fall zuständige Jülicher Richter den von der Staatsanwaltschaft Köln eingereichten Strafantrag erst im Mai abgelehnt. Grund dafür sei etwa die Tatsache gewesen, dass die Daten, auf die der Entwickler zugreifen konnte, ohnehin nicht ausreichend geschützt gewesen seien. Folglich habe es sich dabei auch nicht um eine Straftat im Sinne des Hackerparagrafen 202a StGB gehandelt.

Doch die Kölner Staatsanwaltschaft legte Berufung ein, woraufhin das Landgericht Aachen Ende Juli entschied, dass das Amtsgericht Jülich den Fall nun doch verhandeln müsse. Die Aachener Richter argumentierten, es habe mit dem Passwortschutz eine Sicherheitsbarriere vorgelegen, die der Entwickler bewusst passiert habe.

Obendrein folgten die Richter der Begründung der Staatsanwaltschaft Köln, nach der für den Abruf der Daten eine Dekompilierung der Software erforderlich gewesen sei, was schließlich "ein tiefes Verständnis über Programmiersprachen und Softwareentwicklung" voraussetze. Folglich sei der Zugriff "nur für einen eingeschränkten Personenkreis, der über das erforderliche Fachwissen verfügt" möglich gewesen.

Sicherheitslücken doch lieber geheim halten?

Für viele hierzulande tätige Sicherheitsforscher und andere IT-Fachkräfte dürfte der Verlauf dieses Falls von großem Interesse sein. Sollte der angeklagte Entwickler für sein Handeln, das nach seiner Ansicht im Interesse der Allgemeinheit erfolgte, verurteilt werden, könnte dies in Zukunft viele andere Experten davor zurückschrecken lassen, entdeckte Sicherheitslücken zu melden.
[Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...]

ist mir leider auch schon mehrmals passiert, weswegen ich alles nur noch Anonym melde

Zitat:
Die Aachener Richter argumentierten, es habe mit dem Passwortschutz eine Sicherheitsbarriere vorgelegen, die der Entwickler bewusst passiert habe.
Zitat:
Durch ein im Klartext hinterlegtes Passwort, das umfassende Datenbankzugriffe ermöglichte,
pustekuchen?

csesraven 18.08.23 11:49
Du wurdest also mehrmals vor Gericht gezerrt, weil du Sicherheitslücken gefunden hast?

ziesell 19.08.23 05:51
Zitat:
Zitat von csesraven (Beitrag 48447773)
Du wurdest also mehrmals vor Gericht gezerrt, weil du Sicherheitslücken gefunden hast?
vor Gericht nicht, ich hatte mehrere Hausdurchsuchungen, und wurde mehrmals Angezeigt.

weil ich Lücken gemeldet habe, und um Lücken zu melden erstellt jeder gute Pentester einen Proof of Concept (PoC) damit der Tech/Admin das nachvollziehen und reproduzieren kann.

Gehen wir jetzt mal von einer SQL Injection aus, dann muss ich denen im PoC ja Beweisen, dass ich wirklich "dba" bin, und genug Rechte habe um die Datenbank zu lesen, etc.

Und das schmeckt vielen Firmen eben nicht, weil die Deutsche Techbranche was Bug Bountys, Hacking und Cybersecurity angeht Jahre zurück ist.
viele sind zum ersten mal mit einer Lücke konfrontiert etc


Alle Zeitangaben in WEZ +1. Es ist jetzt 07:17 Uhr.

Powered by vBulletin® (Deutsch)
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.