Datalek: klacht tegen IT-experts kwam van Modern Solution


Het bedrijf Modern Solutions rapporteerde aan de IT-experts die door de software van het bedrijf een potentieel risico voor de gegevens van honderdduizenden klanten hadden ontdekt. Dat blijkt uit de onderzoeksdossiers die Heise online heeft kunnen inzien. Als reactie op de klacht heeft de politie het huis van de programmeur doorzocht en talloze apparaten in beslag genomen. Modern Solutions heeft ook een klacht ingediend tegen een blogger die hierover berichtte.

De programmeur wordt onderzocht voor onder meer het bespioneren van gegevens, het stelen van gegevens en het overtreden van de Federale Wet Bescherming Persoonsgegevens. Volgens het onderzoeksdossier vertelde Modern Solutions aan de politie dat de programmeur alleen met voorkennis toegang kon krijgen tot de systemen van het bedrijf. De rechtvaardiging voor deze veronderstelling is echter technisch niet overtuigend.

Op de systemen van Modern Solution waren die persoonsgegevens van ongeveer 700.000 klanten verschillende online retailers jarenlang grotendeels onbeveiligd. Deze klanten hadden gekocht bij kleinere retailers die hun producten hadden aangeboden op de marktplaatsen van grote online retailers zoals Otto, Kaufland of Check24 met behulp van Modern Solution-software

Nadat de onafhankelijke programmeur het datalek in juni openbaar had gemaakt, werden op 15 september zijn woon- en werkkamers doorzocht en werd al zijn werkapparatuur – een pc, vijf laptops, een mobiele telefoon en vijf externe opslagmedia – in beslag genomen. De apparaten zijn nog in bewaring bij de politie. Voor zover publiek bekend heeft het enorme datalek tot nu toe geen juridische gevolgen gehad voor Modern Solution.

De weergave en de daarop volgende zoekactie, kan nu met zekerheid worden gezegd, is door Modern Solution geïnitieerd als directe reactie op de publicatie van het datalek. Tot nu toe was dit slechts een gok. Het bedrijf legt uit dat de programmeur alleen met voorkennis toegang had tot de gegevens en dat het ook een concurrent is.

Volgens het onderzoeksdossier vertelden vooraanstaande medewerkers van Modern Solution aan de politie dat de programmeur eerder had gewerkt voor het bedrijf JTL in Hückelhoven. JTL produceert aan de kant van de retailer de merchandise management systemen waarmee de software van Modern Solution aansluit. Het dienstverband van de programmeur bij JTL is beëindigd na een conflict. De beschuldigde bevestigde zijn dienstverband bij JTL om online te werken en ontkende niet dat hij “problemen” had tijdens zijn tijd bij het bedrijf.

Volgens eigen informatie is Modern Solution gespecialiseerd in het opzetten en hosten van deze zogenaamde WaWi-systemen van JTL. Vertegenwoordigers van Modern Solution meldden bij de politie dat de programmeur het wachtwoord had weten te bemachtigen waarmee hij toegang had tot de gegevens bij Modern Solution door de inside-kennis die hij bij JTL had opgedaan.

In juni ontdekte de IT-expert tijdens het oplossen van problemen voor een Modern Solution-klant dat de gegevensuitwisseling tussen de Modern Solution-software via een platte tekst SQL-verbinding verliep en dat de toegangsgegevens stevig verankerd waren in de software. Hierdoor had iedereen die een kopie kon krijgen van de software, die in principe vrij beschikbaar was, toegang tot de gegevens van alle klanten van wie de aankopen werden verwerkt met behulp van Modern Solution-systemen. Hij heeft precies hoe dat werkte Blogger Mark Steier gedocumenteerd in een bericht van 23 juni.

Modern Solution heeft deze voorstelling nooit publiekelijk ontkend. Hooggeplaatste medewerkers van het bedrijf Gelsenkirchen voerden echter tegen de politie aan dat de programmeur alleen toegang kon krijgen tot dit wachtwoord omdat hij eerder voor JTL had gewerkt. Daarnaast stelt het bedrijf zich volgens het dossier op het standpunt dat de compilatie van de software een effectieve bescherming is tegen aanvallen zoals het lezen van wachtwoordstrings. Als deze interpretatie wordt gevolgd, kan het overwinnen van deze vermeende bewarende maatregel leiden tot strafrechtelijke aansprakelijkheid.

Experts betwijfelen daarentegen dat de vertaling van de broncode een effectieve bescherming van wachtwoorden ed In de loop van het onderzoek slaagde heise online er bijvoorbeeld in om wachtwoordachtige strings uit software van Modern Solution te lezen, die gratis te downloaden is op internet, met behulp van gemeenschappelijke tools. Ook de heersende juridische opinie lijkt de interpretatie van Modern Solution tegen te spreken. Bijvoorbeeld de Het Europese Hof van Justitie (HvJ) heeft zojuist besloten dat reverse engineering is toegestaan ​​voor foutcorrectie. En het was precies om deze reden dat de programmeur naar de software keek en delen ervan decompileerde.

Modern Solution vertelde de politie dat de programmeur als concurrent van het bedrijf wilde verschijnen – wat hij online niet ontkende – en daarom probeerde het bedrijf schade te berokkenen. De programmeur wijst dit af. Hij wilde het beveiligingslek en het datalek zo snel mogelijk blootleggen om de klanten te beschermen.

Volgens het zoeklogboek van de politie werkte hij samen met de agenten en gaf hij hen zelfs de wachtwoorden voor zijn apparaten en versleutelde gegevens. Volgens onze informatie heeft hij in de bijna drie maanden die zijn verstreken tussen de onthulling van de inbreuk en de zoekopdracht geen gegevens met betrekking tot de zaak verwijderd – zoals een kwaadwillende aanvaller onmiddellijk zou hebben gedaan.

Het verantwoordelijke parket in Keulen wilde na herhaalde navraag geen details geven om online te pinnen. Dit laat ook de vraag onbeantwoord waarom er enkele maanden verstreken zijn tussen de publicatie van de kwetsbaarheid en de zoektocht. De onderzoeksdossiers zijn meerdere keren gemarkeerd met de opmerking “Schiet op!” lees o.a. op een exemplaar van begin augustus.

Modern Solution wil op verzoek geen commentaar geven. “Als bedrijf hebben we besloten geen vragen te beantwoorden die betrekking hebben op een lopend onderzoek”, legt het bedrijf online uit. “We zijn momenteel onze eigen verklaring aan het schrijven en hebben hier nog wat tijd voor nodig. We hebben geen zin om de huidige situatie verder op te warmen.” Deze verklaring is nog niet gepubliceerd.


(vbr)



Source link

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

%d bloggers liken dit: