News Hackerparagraph: Hinweisgeber von Sicherheitslücke zur Geldstrafe verurteilt

[Gsonz]

Das ist so, als wenn ich operiert werde und den Chirurgen danach wegen Körperverletzung anzeige. Absurd.

 

[Ouzo]

Ich weiß noch ende 1970 Anfang 1980'er Jahre als BTX kam da hat die Post noch behauptet alles ist Sicher unknackbar und weiß was ich noch, dann kamen 3-4 jungs vom Hamburger Computer Club und bewiesen das Gegenteil, Buchten für damalige Verhältnisse was mit 132 000 D-Mark, der Postminister hatte schnap Atmung bekommen redete auf Arabisch hla ma hla ma ähm ohh ähm.

Jetzt entdeckt einer aus Sicherheits Firma so eine Lücke und weist darauf hin, Soll mit ne Geldstrafe Mundtot zum schweigen gebracht werden.
Bin mir zu 1000 % Sicher sie wollen ein Exempel an Ihm machen um jeden anderen mitzuteilen schau her das erwartet dich.

Anstatt sich für seine Erlichkeit zu
bedanken.

Dieser Richter hat mehr Ahnung von Schuhe Putzen und Toiletten Reinigen, er braucht Enzyklopädie wie man Hose anzieht.

 

[XamBonX]

Naja, dann halt nicht. Werden die Lücken halt im Darknet für Monies verschebbelt. 🤷‍♂️

 

[Tekwin]

"In Deutschland gilt derjenige, der auf den Schmutz hinweist, für viel gefährlicher als derjenige, der den Schmutz macht."

Kurt Tucholsky

 

[Project 2501]

Nächstes Mal die Lücke einfach im Internet verkaufen statt sie öffentlich zu machen, weniger Ärger und mehr Geld

Anscheinend will man es so.

 

[Mondgesang]

Ist ja quasi wie:

"Guten Tag Herr Nachbar, sie haben ihre Haustür nicht richtig zu gezogen und diese stand auf. Ich habe diese für Sie geschlossen"

Ergebnis:" Sie werden verurteilung wegen versuchten Einbruchs"

Exakt das habe ich auch zunächst gedacht. Aber in diesem Falle wäre es etwas anders:

"Guten Tag Herr Nachbar, das Schloss Ihrer Eingangstür sah ziemlich schwach aus. Also habe ich meinen Dietrich rausgeholt und meine Vermutung hat sich bewahrheitet. Ich konnte es sehr leicht knacken. Ich bin dann in Ihr Haus rein, um zu schauen, was ein potentieller Einbrecher denn so alles erbeuten könnte. Oben im Schlafzimmer ist die Schmuckschatulle Ihrer Frau absolut ungesichert. Sie steht ja förmlich zum Reingreifen auf der Kommode, ganz ungesichert. Mit nur einem Handgriff konnte ich mindestens fünf Halsketten und drei Ringe in meine Handfläche legen.

Sie sollten diesen Missstand wirklich umgehend beheben. Ich habe alles wieder zurückgelegt und bin wieder aus dem Haus raus."

Das was du beschreibst wäre etwas von der Straße einsehbares. Oder in Internetsprache: Websitebesucher können ohne weiteres Zutun beim Browsen der Website eine <table> mit allerlei Passwörtern sehen. Wenn man DAS demjenigen meldet, dann ist das wirklich wie zusagen "Öh... Herr Nachbar, Ihre Haustür steht sperrangelweit offen. Muss das so?"

 

[Tito_2000]

Vollkommen richtig, hier Berufung einzulegen. Der Richter ist eine absolute Nulpe und sollte seinen Job an den Nagel hängen. Wer so blind und blöd auf dem Richterstuhl agiert, ist für diesen Job ungeeignet.
Ein im Klartext hinterlegtes Passwort stellt in keinster Weise irgendeine Sicherung dar. Jemanden zu verklagen, weil er nen Fehler, den er findet, an den Betreiber bzw. Hersteller der Software meldet, ist eh unter aller Sau.
Dieses Gesetz hätte längst geändert werden müssen bzw. in dieser Form gar nicht erst verabschiedet werden dürfen.

"Modern Solutions" ist demnach ein Drecksladen und der Richter hat einfach keine Ahnung.

EDIT: Aber seit wann ist Idealo ein Online-Shop? Das ist doch nur ein Preisvergleich wie bspw. auch Geizhals usw.

Der Richter ist keine absolute Nulpe!
Das Amtsgericht hatte bereits die Klage abgewiesen, aber Aachen hat sich eingeschaltet und dafür gesorgt, dass die Gesetzgebung beachtet wird. Das Gericht muss sich nunmal daran halten.
Es ist Aufgabe der Politik, das Gesetz vernünftig zu korrigieren.

 

[pseudopseudonym]

Guten Tag Herr Nachbar, das Schloss Ihrer Eingangstür sah ziemlich schwach aus. Also habe ich meinen Dietrich rausgeholt und meine Vermutung hat sich bewahrheitet. Ich konnte es sehr leicht knacken.

Du vergisst, dass das Ganze im Auftrag eines Kunden passiert ist, der die Software selbst nutzt. Das ist also eher, als würde ich mir die große Haustür mal genauer angucken, die unten in dem Wohnhaus ist, in dem ich selbst Mieter bin.

Da der Schlüssel bereits bei mir als Mieter ist (ist in dem Fall im Klartext beim Kunden gewesen), ist es eher, als würde ich meinen Schlüssel mal im Heizkeller testen.

 

[Pltk]

Ist halt alles Neuland.
Ich kann meinen Unmut darüber nicht adäquat wiedergeben.

Och, ich bin mir sicher du kannst das. Du darfst aber vermutlich nicht.

 

[ReactivateMe347]

Und dann wundern, dass Leute Lücken lieber auf dem Schwarzmarkt verscherbeln - statt froh zu sein, sie kostenlos mitgeteilt zu bekommen.

Ergänzung (21. Januar 2024)

Das ist so, als wenn ich operiert werde und den Chirurgen danach wegen Körperverletzung anzeige. Absurd.

Nicht ganz. Beauftragt hat ihn nicht der Serverbetreiber, sondern ein Kunde des Serverbetreibers.

Ergänzung (21. Januar 2024)

Es ist Aufgabe der Politik, das Gesetz vernünftig zu korrigieren.

Das Gesetz setzt einen Rahmen, in dem Richter agieren dürfen. 202c ist vorbereitung auf 202a, dieser setzt insbesondere "die gegen unberechtigten Zugang besonders gesichert sind" voraus. Sind Daten besonders gesichert, wenn für alle Kunden derselbe Zugang verwendet wird? - Schon das darf bezweifelt werden und ich sehe hier im Rahmen der Entscheidungsfreiheit des Richters, dies zu verneinen.

Mehr noch hat der Beschuldigte im Auftrag eines dieser Kunden arbeitet, der diese Zugangsdaten (innerhalb des Programmcodes) legitim erhalten hat und somit nicht unberechtigt bzgl. seiner eigenen Daten ist. Der Beschuldigte hat ausprobiert, ob die Daten anders geschützt sind und dabei festgestellt, dass dies nicht der Fall ist und somit alle anderen Kunden des Dienstleister auf die Daten dieses Kunden ebenfalls zugreifen können. Ich würde das vergleichen mit einem Bankschließfach, wo du mit deinem Schlüssel einfach auch alle anderen Schließfächer öffnen kannst.

 

[22428216]

Typisch....

Der CEO sollte dem "Hacker" lieber eine Belohnung zahlen.
Es ist leider so, dass die ehrlichen Menschen oft die Dummen sind.


Achja:

Verbesserungen verspricht nun die Bundesregierung.

Danke, der war gut.

 

[Nagilum99]

Ich wünsche Modern Solutions jedenfalls einen schönen Bankrott. Ich kenne keine Kunden des Ladens, würde aber versuchen jeden wegzubekommen.

 

[halbtuer2]

Zitat:
Demnach soll das „Identifizieren, Melden und Schließen von Sicherheitslücken (…) in einem verantwortlichen Verfahren, z. B. in der IT-Sicherheitsforschung, legal durchführbar sein

Und schon wieder ein neuer Gummiparagraf, was sonst.
Wer legt denn fest, wer und wann solche Sicherheitslücken identifizieren kann und darf?

Aber speziell in diesem Fall zeigt sich mal wieder:
der ehrliche Mensch bekommt von der Justiz dann sogar noch einen Tritt in dn Allerwertesten, während der wahre Übeltäter quasi fein raus ist.

 

[Coeckchen]

da wuerde ich nicht zustimmen. Die 50jaehrigen sind laenger in der EDV zu gange als so manch Junger und der Aeltere "lacht" ueber den unbedarften Umgang mit persoenlichen Daten der Jungen.

Ich spreche hier aber nicht vom Fachpersonal sondern von allen anderen Berufsgruppen.

Ergänzung (22. Januar 2024)

Das ist so, als wenn ich operiert werde und den Chirurgen danach wegen Körperverletzung anzeige. Absurd.

Naja wenn du Suizidabsichten hättest wär das sogar nachvollziehbar.

 

[Hexenkessel]

Naja, dann halt nicht. Werden die Lücken halt im Darknet für Monies verschebbelt. 🤷‍♂️

Mir ist etwas ähnliches passiert.
Bei einer Haushaltsauflösung, wurde eine Schußwaffe gefunden. Und da wir die nicht im Hause haben wollten, habe ich diese zur Polizei gebracht damit sie Sicher entsorgt werden kann.
Jetzt kommt ein Strafverfahren auf mich zu (so Aussage der Beamtin), weil ich die Waffe nie hätte transportieren dürfen. (Was daraus wird ist noch offen)

Deshalb Memo an mich: Beim nächsten mal schicke ich so etwas anonym per DHL oder verticke es im Darknet. Das mach weniger Streß als ehrlich zu sein.

 

[MDM]

Der Artikel ist leider nicht vollständig.
Andere Seiten berichten,

Quellen gibt es keine, oder?

 

[Tekwin]

Bei einer Haushaltsauflösung, wurde eine Schußwaffe gefunden. Und da wir die nicht im Hause haben wollten, habe ich diese zur Polizei gebracht damit sie Sicher entsorgt werden kann.
Jetzt kommt ein Strafverfahren auf mich zu

Den exakt gleichen Fall kenne ich aus dem Umfeld. Für die betreffende Person ist es gut ausgegangen, das Verfahren wurde eingestellt. Ich drücke dir beide Daumen, Ehrlichkeit sollte immer (an)erkannt werden! Aber das dahinterstehende Gesetz konterkariert u.U. derlei Ambitionen.

 

[MDM]

exe (SHA1 d29af9cf55eafb11b48125c5be44e6c713a42aa8,

Also dass sich doch schon verdächtig nach Geheimsprache aus!

Du kannst Host und Credentials ohne Mühe von Offset 0x65b81 auslesen. Oder wenn du willst auch mit Notepad - Zeile 14470, Spalte 37949. Natürlich als UTF-16, heißt mit ein paar Null-Bytes dazwischen.

Auch das. Alles verschlüsselt!

Mal aus dem alten Thread:

Jetzt mal ernsthaft, alleine schon der schwarze Hintergrund und die bunte Schrift (und dann erst die vielen Sonderzeichen) zeigen doch: HEXENWERK!!!

Kurz mit nem Datenbankadministrationstool ausprobiert und hier war er nun sicher, dass die Datenbank prinzipiell jedem komplett offen steht.

Hexenwerkzeug. "Verbrennt ihn"!

SCNR

 

[h00bi]

Quellen gibt es keine, oder?

u.a. der mehrfach verlinkte Heise artikel

 

[MDM]

Das Amtsgericht hatte bereits die Klage abgewiesen, aber Aachen hat sich eingeschaltet und dafür gesorgt, dass die Gesetzgebung beachtet wird.

Warum postet heutzutage bei solchen Aussagen keiner mehr gleich die dazugehörige Quelle? Weil die Aussage ja durchaus Sprengkraft hat.

Ergänzung (22. Januar 2024)

Jetzt kommt ein Strafverfahren auf mich zu (so Aussage der Beamtin), weil ich die Waffe nie hätte transportieren dürfen. (Was daraus wird ist noch offen)

Jetzt kannste dich vielleicht in die Lehrerin einfühlen, die wegen KiPo dran ist. Auch da ist die Gesetzgebung einfach nur dilettantisch.