Anzeige
Anzeige
News
Artikel merken

Hausdurchsuchung statt Dankeschön: Programmierer entdeckt Lücke und wird angezeigt

Rund 700.000 Personen sind von einem Datenleck bei der Firma Modern Solution betroffen. Ein Programmierer hatte die Lücke entdeckt und gemeldet – und erhielt eine Anzeige.

Von Golem.de
4 Min. Lesezeit
Anzeige
Anzeige

Ein Programmierer hat eine Lücke bei Modern Solution entdeckt. (Foto: Shutterstock)

Ein Programmierer deckte ein umfangreiches Datenleck bei der Firma Modern Solution auf, von dem potenziell 700.000 Kunden von Onlinemarktplätzen wie Otto, Check24 oder Kaufland betroffen sind. Doch statt ihm zu danken, soll Modern Solution den Programmierer angezeigt haben. Bei einer Hausdurchsuchung in seiner Firma wurden seine Arbeitscomputer beschlagnahmt. Nun muss er um seine Existenz bangen.

Kunden von Modern Solution sind Händler, die ihre Produkte auf verschiedenen Plattformen anbieten wollen. Diese bindet der Dienstleister über Schnittstellen an verschiedene Marktplätze wie Otto oder Check24 an. Dazu müssen die Händler eine Software von Modern Solution nutzen, die wiederum alle Bestellungen in Datenbanken auf den Unternehmensservern erfasst.

Anzeige
Anzeige

Im Auftrag eines Händlers sollte der Programmierer ein Problem mit der Software beseitigen. Dabei entdeckte er, dass Modern Solution allen seinen Kunden Zugriff auf die Datenbanken gewährt – auch die der anderen Händler. Damit konnten alle Händler auch alle Bestellungen von den Endkunden anderer Händler einsehen. Obendrein waren die für den Serverzugriff notwendigen Zugangsdaten im Klartext in der Software hinterlegt – die wiederum bei Modern Solutions heruntergeladen werden konnte.

Hunderttausende Bestellungen konnten abgerufen werden

„Man muss sich vorstellen, da ist ein Programm, das alle Daten aller Händler und von deren Marktplätzen aggregiert. Und dann hatten die für ihre Datenbanken das Passwort im Klartext und ohne Verschlüsselung hinterlegt, Kundendaten obendrein auf dem Server seit Jahren nicht gelöscht“, sagte der Programmierer im Juni dem Spiegel.

Anzeige
Anzeige

Damit ließen sich alle Transaktionen seit dem Sommer 2018 abrufen. Also Name, Anschrift, E-Mail-Adresse und die bestellten Waren von rund 700.000 Betroffenen. In mehreren Tausend Fällen war sogar die Bankverbindung enthalten. Das Datenleck dürfte obendrein bereits seit drei Jahren bestanden haben. Ob in dieser Zeit bereits von Dritten – beispielsweise Kriminellen – auf die Datenbank zugegriffen wurde, ist unklar.

Anzeige
Anzeige

Presse und Modern Solution werden informiert

Der Programmierer informierte daraufhin den Blogger Mark Steier und kurze Zeit später Modern Solution. „Ich habe Modern Solution unmittelbar per E-Mail, später auch per Telefon informiert. Im Telefongespräch negierte das Unternehmen die Sicherheitslücke jedoch“, sagte Steier zu Golem.de. Anschließend reagierte das Unternehmen nicht mehr, weder auf eine Presseanfrage mit einer Deadline noch auf Telefonanrufe.

Daraufhin ging Steier mit dem Datenleck an die Öffentlichkeit: „Die Situation war einfach zu gefährlich. Die Händler und Endkunden mussten informiert werden“, erklärt Steier. Erst nach der Veröffentlichung und einem Aufschrei unter den Händlern habe das Unternehmen reagiert.

Anzeige
Anzeige

„Als Modern Solution vorgab, die Sicherheitslücke gefixt zu haben, stellten wir fest, dass das System weiterhin unsicher war“, sagte der Versandhändler Otto dem Spiegel. Daraufhin seien die Zugänge komplett gesperrt und die Händler informiert worden.

Steier wird eine noch am selben Tag von Modern Solution verfasste Stellungnahme an seine Kunden zugespielt. In dieser spricht das Unternehmen von einem in Anführungszeichen gesetzten „ethischen Hacker“, der das Unternehmen auf eine Sicherheitslücke hingewiesen habe, über die ein Zugriff auf die Kundendaten möglich gewesen sei.

Darauf folgt ein Satz, den man als Angriff auf den Programmierer werten kann: „Inwiefern eine Weitergabe oder weitere Nutzung dieser Daten durch den ‚ethischen Hacker‘ erfolgt ist und ob es zu weiteren Zugriffen gekommen ist, ist uns derzeit nicht bekannt.“ Erst am nächsten Tag habe Modern Solution die Server vom Netz genommen und damit dem Datenleck ein Ende bereitet, erklärt Steier.

Anzeige
Anzeige

Hausdurchsuchung in der Firma des Programmierers

Am 15. September, rund drei Monate nach dem Vorfall, klingelt es bei der Firma des Programmierers. Ein Paketbote will ein Paket abgeben. Als er die Tür öffnet, wird er von Polizisten an die Wand gedrückt. Eine Hausdurchsuchung.

Im Protokoll der Durchsuchung, das Golem.de vorliegt, wir als Grund der Durchsuchung „u.a. Ausspähen von Daten“ angegeben. Auf die Adresse des Programmierers sei man über eine E-Mail-Adresse bei Web.de gelangt – genau die E-Mail-Adresse, mit welcher der Programmierer Modern Solution mehrfach auf die Sicherheitslücke hingewiesen hatte.

Offensichtlich hatte Modern Solution den Programmierer angezeigt, statt ihm für das Melden der Sicherheitslücke zu danken. Auch Steier wurde für seine Berichterstattung angezeigt.

Anzeige
Anzeige

Gegenüber Golem.de will sich Modern Solution jedoch nicht zu der Anzeige oder dem Fall äußern. „Aufgrund der laufenden Ermittlungen wird es zum derzeitigen Zeitpunkt keinerlei Stellungnahme aus unserem Hause geben“, schreibt Timo Tyrakowski, Geschäftsführer von Modern Solution.

Firmendaten und Arbeitsgeräte beschlagnahmt

In der Firma des Programmierers wurden fünf Notebooks, drei externe Festplatten und zwei USB-Sticks sowie der Rechner, in dem sie steckten, beschlagnahmt. Ebenfalls konfisziert wurde das Smartphone des Betroffenen. Damit war die Firma des Programmierers seiner Arbeitsgeräte und vor allem seiner Arbeitsdaten und Projekte beraubt – eine existenzbedrohende Situation.

Der Programmierer bat daraufhin auf einer Fundraising-Seite um Spenden, um sich juristisch zur Wehr setzen zu können. Zwar könne er wieder arbeiten, doch für viele Projekte fehle ihm der Quelltext. Er könne zwar noch seinen Lebensunterhalt bestreiten, für eine juristische Auseinandersetzung reiche das Geld nach der Beschlagnahme seiner Geräte aber nicht mehr.

Anzeige
Anzeige

Die erhofften 2.000 Euro wurden mit knapp 5.000 Euro von den Spendern mehr als verdoppelt. Der Programmierer kündigte bereits an, für den Prozess nicht benötigtes Geld an die Kinderkrebshilfe spenden zu wollen.

Autor des Artikels ist Moritz Tremmel.

Mehr zu diesem Thema
Fast fertig!

Bitte klicke auf den Link in der Bestätigungsmail, um deine Anmeldung abzuschließen.

Du willst noch weitere Infos zum Newsletter? Jetzt mehr erfahren

Anzeige
Anzeige
5 Kommentare
Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Me

„Der Programmierer informierte daraufhin den Blogger Mark Steier und kurze Zeit später Modern Solution.“

Tja man sollte eben auch erst die Firma ansprechen und nicht irgendwelche Blogger, denn sonst ist es nichts als Rufmord.

Das Vorgehen von Modern Solution ist sicher nicht korrekt, das Vorgehen des Programmierers jedoch leider genauso wenig.

Antworten
andy.mustermann

Vor allem hat er sich beim Finden der Lücke fotografiert und das Fotos bei Shutterstock zum Verkauf angeboten. Sehr fragwürdig, sein Vorgehen.

Antworten
Kai Hofmann

Also das Verhalten der Firma ist hier ja unterirdisch, aber der Programmier weiss offensichtlich auch nicht was er tut – er hätte lieber den zuständigen Landesdatenschützer und das BSI informieren sollen, dann wäre der Staatsapparat korrekterweise auch bei Modern Solution eingefallen und nicht umgekehrt.

Antworten
Martin

Irgendwie ist der Artikel schwer zu verstehen. Soweit ich in anderen Artikeln verstanden haben (golem, heise usw.) wurde das Unternehmen doch zuerst informiert bevor es an Öffentlichkeit ging. Der Blogger wurde informiert aber ohne das was veröffentlicht wurde oder verstehe ich das falsch?

Das Unternehmen hat doch scheinbar nicht auf Telefonate und deadlines reagiert? Also ich würde vorschlagen lieber den golem Artikel zu lesen. Der Artikel hier ist leider ziemlich seltsam und schnell missverständlich würde ich sagen.

Deutlich besser und nachvollziehbarer ist:
https://www.golem.de/news/nach-datenleck-hausdurchsuchung-statt-dankeschoen-2110-160269.html

Antworten
Me

Leider nicht korrekt. Auch golem schreibt, dass zuerst ein x-beliebiger Blogger informiert wurde. Dieser hat dann erst die Firma kontaktiert.

Antworten

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!
Hallo und herzlich willkommen bei t3n!

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team von mehr als 75 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Schon jetzt und im Namen der gesamten t3n-Crew: vielen Dank für deine Unterstützung! 🙌

Deine t3n-Crew

Anleitung zur Deaktivierung
Artikel merken

Bitte melde dich an, um diesen Artikel in deiner persönlichen Merkliste auf t3n zu speichern.

Jetzt registrieren und merken

Du hast schon einen t3n-Account? Hier anmelden

oder
Auf Mastodon teilen

Gib die URL deiner Mastodon-Instanz ein, um den Artikel zu teilen.

Anzeige
Anzeige