Neu Hausdurchsuchung! Modern Solution, das ist ein Unding!

mschop

Aktives Mitglied
21. März 2018
99
20
Hallo Zusammen,

ich habe heute folgenden Artikel gelesen: https://www.golem.de/news/nach-datenleck-hausdurchsuchung-statt-dankeschoen-2110-160269.html

Ich bin schockiert darüber, wie ModernSolutions hier vorgeht. Ich bin selbst im IT-Security bereich unterwegs und kenne die Situation von Sicherheitsforschern. Und ja, rein rechtlich mag ModernSolution vielleicht im Recht sein. Aber vom moralischen Standpunkt finde ich es unter aller Sau. Das Sicherheitsproblem in MosoConnect war eine absolute Lachnummer und eine Peinlichkeit für ModernSolution. Programmierer, wie dieser, die solche Sicherheitslücken melden und nicht für eigene Zwecke ausnutzen so zu attackieren, ist absolut unverständlich.

Don't shoot the messenger!

@jtl: Meine Meinung ist, dass ihr die Zusammenarbeit mit ModernSolution einstellen solltet, wenn ModernSolution diese Anzeige nicht zurück zieht.

ModernSolution ist hier Verantwortungslos mit Kundendaten umgegangen und daher gehört meiner Meinung nach ModernSolution bestraft und nicht dieser Programmierer. Ich hoffe, dass es hier ein saftiges DSGVO-Bußgeld für ModernSolution gibt.

@modernsolution Traurig!

Freundliche Grüße
mschop
 
Zuletzt bearbeitet:

sebjo82

Aktives Mitglied
3. Juni 2021
263
50
Man kann von Google halten was man will, aber die zahlen sogar für die Vulnerabilities von Plattformen, die sie nur nutzen aber keinen Dev-Einfluss drauf haben. Hier eine iOS vulnerability, wodurch Chrome (unter anderem) angreifbar wurde:
 

Pinkman

Sehr aktives Mitglied
14. April 2016
961
141
das ist doch wirklich unglaublich. Das scheint ja eine Bude zu sein. Da sollte JTL in der Tat mal tätig werden.
 

P0ttwal

Neues Mitglied
13. Juli 2021
10
0
Bin ich der einzige der das komisch findet?
Es wird jemand beauftragt an einem Programm mitzuarbeiten, der findet eine Sicherheitslücke und rennt damit erst mal zu einem Blogger?


1634282694685.png

Ich will die Tragweite des Vorfalls nicht schmälern, aber so ganz sauber war das Verhalten des armen Programmierers nicht.
 

sebjo82

Aktives Mitglied
3. Juni 2021
263
50
Bin ich der einzige der das komisch findet?
Es wird jemand beauftragt an einem Programm mitzuarbeiten, der findet eine Sicherheitslücke und rennt damit erst mal zu einem Blogger?


Den Anhang 72816 betrachten

Ich will die Tragweite des Vorfalls nicht schmälern, aber so ganz sauber war das Verhalten des armen Programmierers nicht.
Kontaktiert heißt ja nicht direkt veröffentlichen. Kontaktiert könnte auch konsultiert bedeuten, im Sinne von "Wie soll ich weiter vorgehen?" Erst nachdem Modern Solution die Lücke geleugnet hat, wurde es veröffentlicht. Steht im nächsten Absatz. Das ist definitiv der korrekte Weg.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: MichaelH

SebiW

Sehr aktives Mitglied
2. September 2015
1.801
642
Bin ich der einzige der das komisch findet?
Es wird jemand beauftragt an einem Programm mitzuarbeiten, der findet eine Sicherheitslücke und rennt damit erst mal zu einem Blogger?


Den Anhang 72816 betrachten

Ich will die Tragweite des Vorfalls nicht schmälern, aber so ganz sauber war das Verhalten des armen Programmierers nicht.
Der Programmierer wurde ja nicht von MoSo sondern von einem Händler beauftragt die Schnittstelle anzubinden. Kurz: de facto war er für einen Kunden von MoSo tätig, hat ein schwerwiegendes Problem gefunden, dieses kommuniziert, wurde ignoriert und hat das dann öffentlich gemacht. Genau der richtige Weg.
 
  • Gefällt mir
Reaktionen: MichaelH

sebjo82

Aktives Mitglied
3. Juni 2021
263
50
"Sofern ich einen Anruf komme von einen bekannten Narzissten vor meinen ersten Kaffee bekomme und angepöbelt werde und erpresst werde...wird er auch ignoriert. .."
Sagt schon alles. Es ist bei einer derartigen Panne völlig irrelevant in was für einem Ton darauf aufmerksam gemacht wird. Können froh sein, dass das Leck überhaupt kommuniziert wurde.
Hauptsache die Verantwortlichen können erstmal in Ruhe 3 Stunden lang ihre Morgenroutine absolvieren, bevor auf katastrophale Fehler hingewiesen wird
 
  • Gefällt mir
Reaktionen: MichaelH

John

Sehr aktives Mitglied
3. März 2012
1.673
227
Berlin
Egal wie unfreundlich früh vor dem Kaffee da etwas gelaufen sein mag: Die Anzeige gegenüber dem Hacker ist eine Sauerei.

Fettes Karma Minus für MoSo :(
 

sebjo82

Aktives Mitglied
3. Juni 2021
263
50
"Ein Administrator der JTL Facebook-Gruppe hat heute Morgen obiges Warnposting gelöscht. Es ist wohl anzunehmen, dass JTL nicht an einem Schutz ihrer Händler interessiert ist, sondern wohl eher die Angelegenheit ›nicht öffentlich‹ klären möchte."
oof @JTL
 

moki11so

Neues Mitglied
20. Oktober 2021
12
21
Hier kommt JTL auch nicht eben gut weg, ist ein Link im obigen Beitrag:
https://wortfilter.de/warnung-datenleck-beim-jtl-partner-modern-solution-gmbh-co-kg/

Und zum Kaffee, bei einer solchen Nachricht bräuchte ich keinen Kaffee mehr um wach zu werden ... :cool:
Beim Finden brauchte ich auch keinen Kaffee mehr, obwohl ich zu dem Zeitpunkt 20 Stunden wach war. Mir ging der Puls schon auf 180, als ich realisiert habe, was da vonstattengeht. Die ignorante Art, wie mit uns und den Händlern umgegangen wurde, hat dann den Vogel abgeschossen. Es wäre kein Ding gewesen mit uns (mir und Mark Steier) zu reden, gemeinsam eine passable Lösung zu finden und den Post auf die 7 Tage zu terminieren, die ich auch zuerst angesetzt habe. Nachdem beim ersten Anruf die Lücke abgestritten wurde und auf einmal die Datenbank vom Netz war, haben wir uns dazu entschlossen, einen Post vorzubereiten und MoSo nochmal zu kontaktieren. Dieses Mal gab es keine Stellungnahme. Da die Datenbank seit dem Zeitpunkt über 3 Stunden vom Netz war, haben wir uns dazu entschlossen zu veröffentlichen.

Zum einen müssen die Händler wissen, was los ist und zum anderen haben wir vermutet, dass MoSo ein non Disclosure anstrebt. Wegen des öffentlichen Interesses, war für mich ein Disclosure unumgänglich.

Was auch noch zu betonen ist: Selbst danach hat MoSo weiterhin auf Durchzug geschaltet. Stattdessen wurde ein paar Tage später ein vermeintlich sicheres Update als "Lösung für alles" verkauft, die lediglich auf krude Verschleierungstechnik aufgebaut war. Damit hat MoSo die Daten und somit die Endverbraucher und Händler ein weiteres Mal in Gefahr gebracht.
 
Zuletzt bearbeitet:

SebiW

Sehr aktives Mitglied
2. September 2015
1.801
642
Meine Fresse. Das ist schon mehr als eine Watsche.

Ich meine, sind wir ehrlich: Jeder von uns macht Fehler. Und diejenigen von uns, die mit sensiblen Daten arbeiten (müssen) zünden wahrscheinlich jeden Tag eine Kerze an und sprechen das klassischte aller Gebete (auch ich als Atheist): Lieber Gott, lass mich keinen Scheiß bauen.
Wie man dann aber damit umgeht, wenn man den Scheiß dann eben doch gebaut hat, ist dann der Lackmustest für den Charakter. Und genau an dieser Stelle gibt Modern Solution ein erschreckend schwaches Bild ab.

Als Kunde (der wir auch fast von MoSo geworden wären, allerdings gefiel mir die Kombination aus Schnittstelle auf meinem Server und unseren Daten in einer weiteren externen Cloud so gar nicht, an dieser Stelle: Danke an meinen Schutzengel) erwarte ich keine Perfektion. Aber ich erwarte, dass Fehler offen kommuniziert und mit Verantwortung behandelt werden.

Ein echter Offenbarungseid das ganze. Himmel.
 
  • Gefällt mir
Reaktionen: MichaelH und PAO1908

moki11so

Neues Mitglied
20. Oktober 2021
12
21
Ein echter Offenbarungseid das ganze. Himmel.
Es gibt da jemanden im Heise-Forum, der den Eindruck macht, zumindest ein Insider zu sein.
Derjenige hat auf jeden Fall im Verlauf des Threads einige Facts raus gehauen, die nicht veröffentlicht wurden.
(Tipp: Oben rechts unter "Ansicht umschalten" auf das rechte Icon klicken für eine bessere Ansicht)
https://www.heise.de/forum/heise-on...estellt-wird/thread-6894792/#posting_39812831

Angeblich hat er dann doch nichts damit zu tun und ist nur ein Troll. Das wirkt eher unglaubwürdig, aus meiner subjektiven Sichtweise.
 

SebiW

Sehr aktives Mitglied
2. September 2015
1.801
642
Es gibt da jemanden im Heise-Forum, der den Eindruck macht, zumindest ein Insider zu sein.
Derjenige hat auf jeden Fall im Verlauf des Threads einige Facts raus gehauen, die nicht veröffentlicht wurden.
(Tipp: Oben rechts unter "Ansicht umschalten" auf das rechte Icon klicken für eine bessere Ansicht)
https://www.heise.de/forum/heise-on...estellt-wird/thread-6894792/#posting_39812831

Angeblich hat er dann doch nichts damit zu tun und ist nur ein Troll. Das wirkt eher unglaubwürdig, aus meiner subjektiven Sichtweise.
Ja, hab ich oben auch verlinkt. Das zurückrudern (ich bin ja eigentlich gar nicht von MoSo) nachdem er sich mit dem heise Autor über Interna wie Ticketlaufzeiten etc unterhalten hat ist schon ... auf einer Linie zur restlichen Kommunikation.
Glaubwürdig, erwachsen und vertrauensbildend. Vorbildhaft. Argh.
 
  • Gefällt mir
Reaktionen: moki11so und MichaelH

mschop

Aktives Mitglied
21. März 2018
99
20
Hier kommt JTL auch nicht eben gut weg, ist ein Link im obigen Beitrag:
https://wortfilter.de/warnung-datenleck-beim-jtl-partner-modern-solution-gmbh-co-kg/

Und zum Kaffee, bei einer solchen Nachricht bräuchte ich keinen Kaffee mehr um wach zu werden ... :cool:
Den Seitenhieb auf JTL finde ich allerdings auch daneben. JTL hat (AFAIK) in keiner Weise gesagt, dass das ein JTL zertifiziertes Programm ist. JTL ist nicht für die Sicherheit der Drittanbieter-Module direkt verantwortlich.

Ja, JTL sollte hier ggf. mehr Sicherheit bei Dienstleistern einfordern, aber grundsätzlich ist das in der Verantwortung des Anbieters der Drittanbieter-Software.

@JTL ggf. könntet ihr aber wirklich einen strengen Software-Zertifizierungs-Prozess einführen. So könnten Händler eine gewisse Sicherheit bekommen, welche Dritt-Anbieter-Software Qualititativ ist und welche nicht.

Ich muss aber auch sagen, dass ich aktuell nicht mehr auf dem Laufenden bin, was Zertifizierungsprozesse etc. bei JTL angeht.

Vielleicht an der Stelle der Hinweis: Wenn ihr als Händler oder Software-Anbieter interesse an einem Security-Audit eurer Systeme habt, dann könnt ihr mich gerne unter m.schophaus@onacy.de kontaktieren. Wir bieten auch ein Risk-Free-Modell an, bei dem ihr nur dann etwas zahlt, wenn wir auch eine Sicherheitslücke bei euch finden.