News Hackerparagraph: Hinweisgeber von Sicherheitslücke zur Geldstrafe verurteilt

[rarp]

Ich bin regelrecht schockiert darüber wie die meisten hier kriminelle Handlungen gutheißen. Ein Grund mehr für für die Klarnamenpflicht, die längst überfällig ist. Dann kann man auch gleich die Ausbürgerung einleiten.

Nach Nordafrika, gell? Scheint bei deinesgleichen grad überaus populär.

 

[Nixdorf]

@D0m1n4t0r

Oder auch

F. - Let's have some Fun! Im Falle von Schreibrechten trägt man die Daten künftig nicht raus. Man löscht sie auch nicht, weil dann womöglich ein Backup da wäre. Nein, man manipuliert sie, indem man zum Beispiel Kundennummern zufällig vertauscht. Benutzer loggen sich ein und sehen Bestellungen oder sonstige Daten von anderen. Rechnungen gehen an die falsche Adresse. Das resultierende Chaos ist dann der Lohn.

 

[Lynacchi]

Dann die Sicherheitslücke lieber weiterverkaufen. Da bekommt man wenigstens Geld aufs Konto drauf und nicht runter. Internet ist Neuland, auch noch in 2024.

 

[katzenhai2]

Gibt es eigentlich kein Gesetz, mit dem man die Firma verklagen kann? Die riskiert mit ihrer laschen Programmierung ("Passwort im Klartext"), dass Kundendaten gehackt werden.

 

[SIR_Thomas_TMC]

Ich kann meinen Unmut darüber nicht adäquat wiedergeben.

Das sollte aber schon möglich sein. Sonst gibt es nicht nur was an Neuland weiterzuentwickeln.

Inhaltlich aus meiner Sicht do komplett sinnfreie Urteil bzw. Gesetz. Kein Missbrauch, keine Erpressung, kein Schaden. Nur die Info zu einer Sicherheitslücke. Also eigentlich sogar ein zuvorkommendes Verhalten. Dringend die Rechtsprechung bzw. das Gesetz ändern.

 

[textract]

Was lehrt uns das wieder?
Sicherheitslücken muss man an den meistbietenden verkaufen und nicht so ehrlich und dumm sein und sie melden.

 

[Skjöll]

Es gibt inzwischen das Hinweisgeberschutzgesetz.
Quelle: https://www.gesetze-im-internet.de/hinschg/BJNR08C0B0023.html

Dort gibt es auch den Kreis der Betroffenen:
Selbstständige, die Dienstleistungen erbringen, Freiberufler, Auftragnehmer, Unterauftragnehmer, Lieferanten und deren Mitarbeiter
Quelle: https://www.ihk.de/stuttgart/fuer-unternehmen/recht-und-steuern/arbeitsrecht/whistleblowing-5169770

Insofern kein unwichtiger Hinweis an das Gericht.

 

[Nepenthes]

Da lohnt ein Verkauf im Darknet aber deutlich mehr, was bei so eine "Mistfirma" wohl sinnvoller gewesen wäre. Die wären besser dankbar gewesen für den Hinweis. Wobei wir natürlich auch nicht alle Details kennen und somit nicht ein fundiertes Urteil machen können, wobei bei den heutigen Nieten in den Gerichten auch nicht ein faires fundiertes Urteil erwartbar ist.

 

[eazen]

Schade sowas, dafür gibt es den alten Spruch: keine gute Tat bleibt ungestraft.

 

[SIR_Thomas_TMC]

Hacker Tool = Text Editor. Alles klar, danke für die Klärung.

Eigentlich ist ja nur das Einloggen mit dem Passwort der strafbare Teil. Sprich, zukünftig das gefundene Passwort einfach in Foren posten, an die Presse mitteilen, mit dem Hinweis, es eben aber gar nicht erst ausprobiert zu haben. Zack, echter und großer möglicher Schaden, aber komplett nicht strafbar.

Wie gesagt, ziemlich sinnfrei so.

 

[Mensch_lein]

Mein Problem dabei ist, dass es dann die Kunden trifft, die im eigentlichen nichts dafür können. Die Firma redet sich da schon raus, wie man sieht mit Gerichtlicher Hilfe.

Zumindestens Moralisch hätte ich also ein Problem dabei.

Der Richter hätte eine Strafe von 100 Euro sprechen können, Verfahrenskosten zu Lasten der MS. Das wäre ein Fingerzeig gewesen.

 

[Arcturus128]

Der Richter hat hier keine Wahl.

Sehe ich nicht so. Richter haben immer eine Wahl und sehr viel Spielraum. Ein im Klartext vorliegendes Passwort ist für jeden Experten (also de facto) einfach kein »besonderer Schutz«, so wie es das Gesetz verlangt für eine Strafbarkeit.

 

[Yuuri]

Eigentlich ist ja nur das Einloggen mit dem Passwort der strafbare Teil.

Das passiert beim Öffnen der Anwendung selbst bereits. Ohne würde auch die Anwendung keine Verbindung aufbauen können.

 

[SIR_Thomas_TMC]

Verstehe ich nicht ganz. Hat er erst nach dem Einloggen mit dem Kundenpasswort Zugriff auf das Klartextfile? Falls ja, hat er sich trotzdem noch nicht mit diesem Passwort (das ihm Zugriff auf alle Daten gibt) eingeloggt, und der Zugriff über das Kundenpasswort war ja legal.

 

[Accutrauma]

Was jetzt auch nix neues ist und bei dem altersschnitt (45) auch nicht verwunderlich. Die jugend treibt die innovation vorran und davon hat deutschland im verhältnis zum rest nix. Kannst du dich an 16 jahre stillstand erinnern? “Internet ist für uns alle Neuland“ ja was haben wir nicht gelacht weil es für fast alle unter dem Altersdurchschnitt schon über nen Jahrzehnt zum Lebensalltag gehört hat.

Je weiter sich die Alterspyramide nach oben verschiebt desto langsamer wird die Anpassungsfähigkeit an neue Umstände.

da wuerde ich nicht zustimmen. Die 50jaehrigen sind laenger in der EDV zu gange als so manch Junger und der Aeltere "lacht" ueber den unbedarften Umgang mit persoenlichen Daten der Jungen.

 

[BoardBricker]

Der Richter hat hier keine Wahl.

Sehe ich nicht so.

Ich auch nicht. Bin zwar nur juristischer Laie, aber es gibt genau für diesen Fall immer noch so etwas wie übergeordnete Prinzipien der Rechtssprechung, die im Zweifel gegenüber einem einzelnen Gesetz Vorrang haben.
Zwar schützt Unwissenheit nicht vor Strafe, aber wer im guten Glauben handelt, keinen Schaden anrichtet und dann auch noch Dritten gegenüber Hilfe leistet, darf nicht bestraft werden, nur weil er nicht ganz exakt nach Vorschrift gehandelt hat. Ist ja schließlich auch keine Sachbeschädigung, wenn ein Ersthelfer Kleidung zerschneidet.

Man hätte den Fall auch gleich an eine übergeordnete Instanz weiterreichen können.
Wenn schon Strafe, dann sollte man jetzt auch mal drüber nachdenken, ob dieser Softwarefehler nicht so gravierend ist, dass der Entwickler sich da zumindest mit grober Fahrlässigkeit mitschuldig gemacht hat.

 

[Draco Nobilis]

Auch wenn ich kein Jurist bin, dieses Urteil schlägt Wellen.
Wer wird den jetzt eigentlich durch genau dieses Urteil/Recht geschützt?
Meiner Meinung nach schadet dies erneut den Standort Deutschland für entsprechend fähige Fachkräfte.

 

[Randnotiz]

Ich wünsche mir, dass der Richter und die Firma, welche diesen gutartigen Hacker zur Strafe verdonnert hat, jeden Morgen in Glasscherben, oder Legosteine treten.

Es ist egal, ob eine Datenbank erst einmal für die Allgemein schwer, ja gar unzugänglich ist.

Passwörter im Klartext haben online nichts mehr verloren

Wer dagegen verstößt, sollte zu einer gewaltigen Geldstrafe wegen fahrlässigem Umgang mit Kundendaten, ohne Gelegenheit auf Berufung gezwungen werden, oder das Problem wird umgehend behoben.

 

[Rawday]

er hätte es erst der Firma melden müssen!

Es wurde der Firma mitgeteilt und nach einer Zeit ohne Antwort oder Reaktion ging der Artikel online.

Heise hat da mehrere Artikel zu.

 

[Yuuri]

Hat er erst nach dem Einloggen mit dem Kundenpasswort Zugriff auf das Klartextfile?

Es gab keine externe Datei, kein Klartextfile oder sonstige Magie - Username und Passwort standen direkt in der Anwendung selbst drin. Genau über diese Lächerlichkeit geht es ja. MoSo Connect gab es frei zum Download, jeder konnte es sich herunterladen, die Credentials standen direkt in der exe (SHA1 d29af9cf55eafb11b48125c5be44e6c713a42aa8, keine Ahnung welche Version das darstellt, damit hat man es wohl auch nicht so).

Du kannst Host und Credentials ohne Mühe von Offset 0x65b81 auslesen. Oder wenn du willst auch mit Notepad - Zeile 14470, Spalte 37949. Natürlich als UTF-16, heißt mit ein paar Null-Bytes dazwischen.

Mal aus dem alten Thread:

So sieht das bei denen im Code aus:

Rechts der Code, links die Ausgabe von strings (lediglich durch g++ gejagt, ergo kompiliert). So wurde das an alle Kunden verteilt. Da ist nichts "geschützt".

Das sind die Credentials, die die Anwendung selbst zum Verbindungsaufbau nutzt. Es wurde dann bei der Problemfindung überhaupt erst von einer Firewall bemerkt, dass eine unsichere Datenbankverbindung aufgebaut wird. Dann hat er mal manuell nachgesehen und ist darauf gestoßen. Kurz mit nem Datenbankadministrationstool ausprobiert und hier war er nun sicher, dass die Datenbank prinzipiell jedem komplett offen steht.

Bei MoSo gelebte Praxis wird bereits Azubis/Stunden eingebleut, dass man das nicht macht. Dort schafft es das in Production und keiner hat es aufgehalten.

Zukünftig haben wir in Deutschland Datenbanken offen im Netz stehen und packen einfach ein Stoppschild davor: "Halt, hier darfst du nicht rein". Sache juristisch gelöst! Jeder Zugriff wird mit einer Klage belohnt.

Btw ist das übrigens ein Strafbefehlsverfahren. Heißt der Richter hat wohl nicht all zu viel zu sagen und die Staatsanwaltschaft gibt vor. (Gegen-)Beweise durften nicht vorgelegt werden bzw. hätten diese einfach durchs Gericht abgelehnt werden dürfen. 🤷‍♂️