Helge01 schrieb:
Wieso muss man denn immer gleich rumpöbeln?
Wo "pöbel" ich? Achte doch eher auf deine Wortwahl.
Es gibt einen deutlichen Unterschied zwischen "hat für die Konkurrenz gearbeitet" und "sah es als erwiesen an". Du stellst es als Fakt dar, während die Staatsanwaltschaft lediglich die Behauptung der MoSo offiziell zugrunde legt. Rechtskräftig ist das Urteil nicht, Berufung wurde angekündigt. Sind wir hier bei Kachelmann? Das Verfahren hat ja bereits einmal Ping-Pong gespielt.
LorD-AcE schrieb:
Habe ich bisher in keiner Quelle gelesen. Hast du einen Link?
Original:
https://pr0gramm.com/new/4640920:comment49499916
QXARE schrieb:
Wenn ich der Firma die Sicherheitslücke melde, diese mich im Anschluss abweist, aber ich kurz danach feststelle, dass die Probleme wenig später geschlossen sind, dann ist die Meldung an die Öffentlichkeit einfach unnötig und dessen Beweggründe zu hinterfragen. Gleicht an Rufschädigung.
Es gab danach ein Update mit genau dem selben Fehler, wo es wieder online ging. Wann es wirklich gefixt wurde weiß ich nicht, da ist das Kind allerdings auch schon in den Brunnen gefallen. Es gab vom Beklagten sogar einen PoC für einen Fix (
https://github.com/moki11so/Connect).
https://wortfilter.de/jtl-partner-modern-solution-neues-datenleck-mit-neuer-version-moso-connect/
QXARE schrieb:
Zumal ein hardcodiertes Passwort nicht automatisch darauf schließen lässt, dass die Daten kompromittiert sind, oder ein Probkem besteht. Es birgt jedoch ein gewisses Risiko.
Tja, nur leider hat Mark (der Blogger) es schriftlich, dass mindestens einem Mitbewerber die Lücke auch bekannt ist. Die Connect App war auch öffentlich runterladbar. Dein Argument zieht nicht.
https://www.heise.de/forum/heise-online/Kommentare/Datenleck-bei-Modern-Solution-Hausdurchsuchung-statt-Bug-Bounty/Re-Witzig-wie-es-hier-dargestellt-wird/posting-39815129/show/ schrieb:
Und das eure Lücke vorher nicht bekannt war stimmt auch nicht. Ich habe die Kommunikation mit einem Partner vorliegen, der schriftlich bestätigt, dass ihm die Lücke bekannt war. Soll ich sie veröffentlichen?
Fliegenschiss schrieb:
Ich bin regelrecht schockiert darüber wie die meisten hier kriminelle Handlungen gutheißen.
Kriminell war die nicht vorhandene Sicherung der Daten in der Anwendung der MoSo. Auf diese wurde hier von extern hingewiesen. Kriminell ist maximal MoSo, der Überbringer der Nachrichten wird hier wieder gehängt.
Und dann fragt man sich wieder, wie das nur passieren konnte...
QXARE schrieb:
Nicht jeder hat auf diese Dateien Zugriff, geschweige denn auf den Server selbst.
Die Anwendung war öffentlich downloadbar. Auf die Daten auf dem Server hast du Zugriff, wenn du die Anwendung ausführst. Und du kannst somit auch auf alle Daten zugreifen, wenn du die Credentials ausliest. Einer Anwendung kann man in 2024 keine Credentials auslesen. Das war vielleicht noch in den 90ern der Fall.
Und es ist auch erst aufgefallen, als in einer VM (zum Testlauf) eine Firewall ihn auf eine unsichere MySQL-Verbindung hinwies. Ist der Hersteller der Firewall nun auch mitschuldig?
h00bi schrieb:
Auch wenn das Passwort im Klartext zu finden war, das dekomplieren der Software war einfach strafbar.
Nein, es ist vollkommen legal, abgesegnet vom EuGH. Und auch im deutschen Recht ist es erlaubt, um die Interoperabilität zu erhalten.
https://de.wikipedia.org/wiki/Decompiler#Rechtliches schrieb:
Kommerzielle Softwareanbieter weisen in ihren Lizenzen oft darauf hin, dass das Dekompilieren ihrer Produkte verboten sei (sei es auch nur zu Studienzwecken oder um die Software für den Eigengebrauch zu verändern).
Allerdings ist es im Recht Deutschlands nach
§ 69e UrhG unter bestimmten Bedingungen erlaubt, ein Programm zu dekompilieren, soweit dies notwendig ist, um die „
Interoperabilität“ mit einem unabhängig vom ursprünglichen Programm geschaffenen Computerprogramm zu erhalten. Lizenzvereinbarungen, die dem widersprechen, sind nichtig.
https://www.golem.de/news/urheberrecht-eugh-erlaubt-dekompilierung-fuer-bug-fixes-2110-160225.html schrieb:
EuGH erlaubt Dekompilierung für Bug-Fixes
Auch gegen den Willen des Herstellers darf proprietäre Software per
Reverse Engineering untersucht werden, wenn es bestimmten Zwecken dient.
Reverse Engineering zur Fehlerbehebung ist kein Verstoß gegen das Urheberrecht.(Bild:
Tim Reckmann, flickr.com/
CC-BY 2.0)
Der Gerichtshof der Europäischen Union (EuGH) hat Kunden und Nutzern proprietärer Software
in einer aktuellen Entscheidung grundlegende Rechte zum Reverse Engineering zugestanden. Dem Urteil zufolge ist es erlaubt, proprietäre Software
"ganz oder teilweise zu dekompilieren, um Fehler, die das Funktionieren dieses Programms beeinträchtigen, zu berichtigen".
Weiterhin ist das Urheberrecht in diesem Fall nicht relevant. Auch hat die Staatsanwaltschaft selbst immerhin bereits mitbekommen, dass der Fall des Dekompilieren erst nach der Veröffentlichung auftrat.
https://www.heise.de/news/Warum-ein-Sicherheitsforscher-im-Fall-Modern-Solution-verurteilt-wurde-9601392.html schrieb:
Des Weiteren konnte das Gericht dem Angeklagten nicht nachweisen, das Passwort durch Dekompilieren erlangt zu haben. Die Ermittler der Polizei konnten zwar Indizien für das Dekompilieren der Modern-Solution-Software auf den Rechnern des Angeklagten sicherstellen, dies belegte aber nur, dass er die Software nach seinem angeblichen Ausspähen der Daten zurückübersetzt hatte.
