Modern Solution-Datenleck: Anzeige gegen Entwickler kam vom Hersteller

ParagraphIm Sommer 2021 wurde bekannt, dass ein schlecht gesicherter Zugang des Dienstleisters Modern Solution dazu führte, dass Händlerdaten (Bestellungen, Adressen und auch Kontodaten) für Dritte über das Internet abrufbar bzw. einsehbar waren. Im September 2021 fand dann eine Hausdurchsuchung beim Entdecker der Schwachstelle statt. Grund war eine Anzeige gegen den Entwickler, und auch ein Blogger, der über den Fall berichtete, wurde angezeigt. Jetzt ist klar: Die Anzeige kam von Modern Solution, die Firma, die für das Datenleck verantwortlich war.


Anzeige

Das Modern Solution-Datenleck

Ein Entwickler stieß im Sommer 2021 auf einen schlecht gesicherten Händlerzugang beim Dienstleister Modern Solution. Eine Datenbankverbindung wurde zu einem externen Server aufgebaut, wobei die erforderlichen Zugangsdaten für alle Verbindungen wohl gleich waren.

Da die für den Datenbankzugriff erforderlichen Zugangsdaten von einer Firewall des Systems protokolliert wurden, ließen sich Details zu dieser Verbindung rekonstruieren. Dies führte dazu, dass Händlerdaten (Bestellungen, Adressen und auch Kontodaten) für Dritte über das Internet abrufbar bzw. einsehbar waren. Es waren wohl persönliche Daten von ca. 700.000 Personen betroffen.

Zu den Kunden des Dienstleisters zählen nach meinen Informationen auch Check24, Otto, Rakuten oder die ehemalige Real-Tochter Kaufland (heute im Besitz der Schwarz-Gruppe). Der Fall wurde durch die Seite wortfilter.de (Mark Steier) und durch diesen Artikel des Spiegel publik. Ich selbst hatte im Blog-Beitrag Kundendaten von Online-Marktplätzen (Otto, Kaufland, Check24 …) einsehbar über diese Sicherheitslücke bzw. den Fall berichtet.

Anzeigen und Hausdurchsuchung

Mitte Oktober 2021 wurde dann der nächste Akt dieses Dramas bekannt. Jemand hatte gegen den Entdecker der Schwachstelle und den Blogger Mark Steier Anzeige wegen Datenhehlerei und Eindringen in Computersysteme gestellt. Wer der Anzeigenerstatter war, bliebt im Dunkeln – die Vermutung lag nahe, dass es Modern Solution war.


Anzeige

Für den Entdecker der Schwachstelle hatte dies die drastische Folge, dass die zuständige Staatsanwaltschaft seine Räume Mitte September 2021 von der Polizei durchsuchen ließ. Dabei wurden auch die Arbeitsgeräte und Speichermedien des Entwicklers, der bei einem Kundenprojekt auf die Schwachstelle gestoßen war, beschlagnahmt. Ich hatte im Blog-Beitrag Entwickler meldet Modern-Solution-Datenleck, darauf Anzeige und Hausdurchsuchung berichtet.

Anzeigenersteller und weitere Details bekannt

Jetzt ist klar, dass die beiden Anzeigen gegen den Entdecker der Schwachstelle und gegen den Blogger Mark Steier wohl von der Firma Modern Solution kommen. heise hatte Gelegenheit, die betreffenden Ermittlungsakten einzusehen, wie in diesem Artikel erläutert wird. Der nachfolgende Tweet weist auf diesen Sachverhalt und den betreffenden Artikel hin.

Modern Solution Datenleck

Die Anzeige erfolgte als Reaktion auf die Veröffentlichung der Schwachstelle – die laut den Entdeckern und dem Blogger Steier nur erfolgte, weil Modern Solution auf erste Meldungen nicht reagierte.

Laut Ermittlungsakten wird gegen den Programmierer wird unter anderem wegen des Ausspähens von Daten, Datenhehlerei und Verstoßes gegen das Bundesdatenschutzgesetz ermittelt. Der Anzeigenerstatter, Modern Solution, gab an, dass der Entwickler sich nur mit Insiderwissen Zugang zu den Systemen der Firma verschaffen konnte. Hintergrund ist, dass der Entwickler früher bei der Firma JTL in Hückelhoven arbeitete.

JTL ist der Hersteller der Warenwirtschafts-Systeme, mit denen die Software von Modern Solution auf Seite des Einzelhändlers verbunden wird. Der Entwickler hat diesen Arbeitgeber wohl "nach Konflikten" verlassen, was dieser laut heise auch nicht bestreitet. Von Modern Solution wird argumentiert, dass der Zugriff auf die Datenbankverbindungen nur mit Insider-Wissen aus dieser Tätigkeit möglich gewesen wäre.

heise schreibt, dass diese Sichtweise nur schwer haltbar sei. Und ich erinnere mich, im Blog-Beitrag Kundendaten von Online-Marktplätzen (Otto, Kaufland, Check24 …) einsehbar berichtet zu haben, dass die Zugangsdaten von der Firewall protokolliert worden waren. Und mit einem festen Passwort für alle Verbindungen ist es dann kein Kunststück mehr, die Daten abzurufen. Die Argumentation von Modern Solution sowie die Einschätzung der heise-Redaktion lässt sich im Artikel hier nachlesen.

Am Ende des Tages wird ein Gericht entscheiden müssen, was Sache ist. Aber der gesamte Fall lässt einen arg schlechten Geschmack aufkommen. Da ist die Anzeige von Modern Solution wegen "Verstoßes gegen das Bundesdatenschutzgesetz" – was ja wohl eher der Firma vorzuwerfen ist. Da ist der Sachverhalt, dass die API zum Datenbankzugriff sicherheitstechnisch wohl als Fail anzusehen ist. Und da ist der Umstand, dass zwischen Aufdeckung des Vorfalls und der Hausdurchsuchung Monate liegen – und der Entwickler durch die Beschlagnahme quasi fast um seine Existenz gebracht worden ist. Mir fallen da nur Bock zum Gärtner und Bananenrepublik ein – weiß nur noch nicht, welchen dieser Begriffe ich da anwenden soll.

Ähnliche Artikel:
Kundendaten von Online-Marktplätzen (Otto, Kaufland, Check24 …) einsehbar
Datenleck bei deutschen Shopping-Plattformen (700.000 Kundendaten online)
Entwickler meldet Modern-Solution-Datenleck, darauf Anzeige und Hausdurchsuchung
Modern Solution-Datenleck: Anzeige gegen Entwickler kam vom Hersteller


Anzeige

Dieser Beitrag wurde unter Allgemein abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

5 Antworten zu Modern Solution-Datenleck: Anzeige gegen Entwickler kam vom Hersteller

  1. David sagt:

    "Mir fallen da nur Bock zum Gärtner und Bananenrepublik ein – weiß nur noch nicht, welchen dieser Begriffe ich da anwenden soll. "

    Bananenrepublik triff es am ehesten.
    Oder: Wir hängen den Überbringer der schlechten Nachrichten.
    Typisch Deutsch eben. (Wobei inzwischen weltweit so vorgegangen wird. Ist ja viel einfacher, als sich vorher (oder nachher) absichern zu müssen.).

  2. Andreas Hofer sagt:

    Schuld sind immer die anderen! Das ist seit Jahrtausenden so. Und immer wieder die Basis für Streit, klein und groß bis hin zum Krieg. Ob die Menschen das jemals lernen und es doch noch schaffen, Frieden zu schaffen??? Auch wenn es schwer fällt. Ich will die Hoffnung behalten!

  3. Zocker sagt:

    Hätte er die Daten im Darknet verkauft, hätte er jetzt wohl keine juristischen Probleme. Dafür wäre er reicher. Schräge Welt…

    Würde ich schlapp lachen wenn er nun eine härtere Strafe bekommt, als wenn er mit Datenhehlerei erwischt worden wäre.

  4. Sven sagt:

    Realtochter Kaufland? Kaufland gehört doch zur Schwarzgruppe und somit ist sie eine Schwester von Lidl, oder lieg ich da falsch? Desweiteren hat Kaufland einige Realfilialen übernommen und in Kauflandfilialen umgewandelt….

  5. janil sagt:

    Das Ende vom Lied wird tatsächlich sein und wird ja auch schon so praktiziert, dass Entdecker solcher Schwachstellen sich stärkere, weniger angreifbare Partner suchen und dann veröffentlichen oder ihr Wissen verkaufen oder den Buschfunk es richten lassen.
    Oder, oder, oder…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.