LEG: Strafanzeige als Dankeschön für Aufdeckung einer Sicherheitslücke

Zum gesamten Artikel


Der Kölner Informatikstudent David Kurz wollte eigentlich etwas Gutes tun, indem er die Öffentlichkeit über eine Sicherheitslücke der Webseite seines…

Das gleiche habe ich mit der Firma Signal Horn erlebt, die haben mich auch angezeigt nach dem ich ihnen das gemeldet habe.

Anzeige wurde am ende fallen gelassen aber tortzdem nervig und teuer…

In Deuschland werden White Hats immer noch Kiminalisiert …

Deshalb sollte man bei sowas einfach anonym bleiben. Dann bekommt man zwar nicht seine 5 Minuten fame in den lokal Nachrichten aber immerhin weiß das Unternehmen dann bescheid.

Das hat nichts mit 5 Minuten aufmerksamkeit zutun.
Es muss doch einfach nicht sein dass man für seine Wichtige Arbeit strafe erwarten muss.

Selbst wenn Du das anonym oder gerade wenn Du das anonym einreichst, wird man darauf gar nicht erst reagieren. Dann bist Du Deinem Ziel keinen Millimeter näher gekommen. Das erklärte Ziel sollte natürlich sein, dass die Lücke geschlossen wird.

Was will man als Nachspiel schon erwarten, wenn beim Vorspiel Idioten am Werk waren?:joy:
Kommt also einer mit sqlmap daher und dumpt die dbs, dann sollte man nicht noch zum Angriff übergehen, sondern sich eher für seine Unfähigkeit kräftig schämen und für den Hinweis ordentlich danken.

Das Ziel muß sein, daß derjenige, der sich beim Schutz der Kundendaten derart grob fahrlässig verhält, sich direkt im Anschluß vor Gericht dafür verantworten sollte^^

1 Like

Genauso sehe ich das auch, die firmen die derart fahrlässig sind gehören bestraft.
Es ist ja lachhaft einfach Industrieanlagen Steuerungen etc zu übernehmen…
Es ist nur eine Frage der Zeit bis mal was wirklich schlimmes passiert was Menschen Leben fordert.

1 Like

Ich glaube der David Kurz, hätte sicherlich wenn er es richtig angepackt hätte, durchaus
Kapital aus der Entdeckung des „Bugs“ ziehen können. Keine Firma hat es gern
in Fokus der Medien zu stehen, und in Verdacht zu stehen, sensbilbe Daten zu streuen.
War vielleicht sogar ein „Zahlendreher“ der ihm den „Bug“ offenbart hat.

Er hätte das Gespräch im Beisein mit einem Datenschutzbeauftragten suchen sollen,
dann zur Firma und die „Patzer“ andeuten sollen. Um den Fehler zu dokumentieren benötige
man eine „Aufwandspauschale“…

Das die LEG den Spiess umdreht ist eine Abwehrreaktion, wie sollten Sie auch anders handeln?
Daraus, aus dem Zufallsfund des „Bugs“ wird ein voll krimineller Hacker der hart bestraft werden
sollte. :wink:

Wir wissen es besser.

Das man Hacker unterteilen muss in die drei Kategorien:

  • White Hat
  • Grey Hat
  • Black Hat

…wissen vielleicht diejenigen, die in der IT arbeiten bzw. Interesse an den diversen IT-Themen haben! Ob dies heutzutage im Fokus einer Wohnungsgesellschaft ganz vorne steht, wage ich zu bezweifeln! Dort steht wohl eher das Subjekt des „Hackers“ ganz vorne an bei Themen, wie z.B. Ransomware (Erpressungs-Trojaner) und ähnlichem!
Laut eigener Aussage von D. Kurz hatte sich folgendes zugetragen:

Am Abend des 2. Juli 2019 wollte ich im Mieterportal der LEG (https://portal.leg-wohnen.de) nachschauen, ob neue Dokumente vorhanden sind. Dabei fiel mir eine eklatante Panne auf.

Diese sicherheitsrelevante „Panne“ wurde aber auch am 02.07.2019 auf seiner Internetseite https://mdxdave.de/it-fails/datenpanne-leg
veröffentlicht.
Da könnte man glatt vermuten, dass der Zeitpunkt zwischen Entdeckung und Veröffentlichung auf der eigenen Seite recht kurz war. Nämlich so kurz, dass eine offizielle Meldung bei der Behörde und der Presse erst im nachhinein erfolgte !?
Eine Meldung bei der LEG wurde erst knapp 24 Std. später telefonisch durchgeführt, nachdem schon die Veröffentlichung auf der eigenen Site stattgefunden hatte.
Da muss man sich auch nicht wundern, dass der Betroffene darüber verärgert ist und sich mit einer Anzeige seinerseits bedankt!
Das sollte man als sogenannter „White Hat“ aber auch wissen…
:wink:

Trigger: Er hat sich an die Datenschutzbeauftragte NRW gewendet. Das steht im Artikel mehrfach drin, wenn Du ihn gelesen hättest. :wink: Ja, er hätte sich erst bei der LEG und dann woanders melden sollen. Den Vorwurf kann man wirklich stehen lassen.

Ich habe es gelesen und ?
ob es zigmal drinsteht, meine Aussage geht in eine andere Richtung.

Finde den Fehler…

Er wollte keine Aufwandspauschale, darum ging es nie. Er wollte nur, dass die Lücken endlich geschlossen werden. So etwas kann auch schnell als Erpressungsversuch interpretiert werden, davon würde ich als Hinweisgeber die Finger lassen. Das kommt davon, wenn man überhaupt keine Ahnung hat…

Einfach per VPN eine schön klingende Mailadresse mit Altdeutschem Vor und Nachnamen anlegen und damit an die [email protected] des Unternehmens schreiben. Die müssen ja nicht merken, dass man sich anonymisiert. Einfach sagen was man entdeckt hat und fertig. Wo ist da bitte das Problem?

Genau. Du kannst viele Seiten schon mit den Tails Standardtools komplett auseinander nehmen…

btw: Wer schon mal irgendein Video von irgendjemanden (z.B beim ccc auf yt) geshen hat, wird wissen, dass man aus diesen Bug Funden nur selten Kapital schlagen kann. Sowas sollte man direkt wieder vergessen. Das ist ja kein bug hunter Kontest.

Sein einziges Kapital, was er angestrebt hat, war, dass die Sicherheitslücke zeitnah geschlossen wird, das war alles. Das hat er ja dann auch erreicht.

Du meinst mit dem „Kontest“ ein Bug-Bounty-Programm, nehme ich an. Was hat das damit zu tun? Sollte man nur Bugs melden, wenn es direkt Kohle dafür gibt? Was ist das denn für eine Einstellung? Also bitte!

Für diesen Bereich leider die einzig richtige.:sunglasses: Das ist zwar traurig, aber leider wahr. Würde das nicht so laufen, gäbe es auch keine Zeros auf dem freien Markt. Das Angebot regelt den Preis.

Und Whitehats geht es dabei meistens auch darum, zu zeigen, was sie können. Immer besser, sie bleiben auch noch dabei und driften nicht viele ab, wenn Lob und Anerkennung ausbleiben.^^

Ich glaube, du hast mich ganz schön falsch verstanden. Ursprünglich ging es mir Darum, dass WhiteHats einer Anzeige entgehen können, indem sie auf den „fame“ verzichten und das Unternehmen mit dem Sicherheitsproblem auf eine anonyme Art aufklären. Wo ist bitte der Unterschied, ob ich denen sachlich per rl google Mail account von dem Problem berichte oder von einem anonymen Mailaccount aus? Das macht überhaupt keinen Unterschied für das Unternehmen. Außer halt das sie dich dafür nicht zur „Rechenschaft“ ziehen können. Die Absichten sind bei dir dann doch die gleichen. Ich bin in keiner weise dafür Leuten irgenwie zu schaden. Es ist halt nur sehr einfach. Deshalb können es viele und es machen auch viele. Denk mal dran wie viele Sicherheitslücken allein in Drupal dauernd sind. Jeder hobby hacker kann sich die Sicherheitslücken zusammen googlen und dann jagt auf veraltete Versionen machen. Deshalb sollte man Firmen informieren können ohne selbst dafür rechtliche Probleme zu bekommen. Und das geht halt indem man sachlich - wie immer - ist aber TOR + Anonyme Mail verwendet. Ich sehe da kein Problem.

Hat das jemand angezweifelt?

Wie schon geschrieben. Kommt der Hinweis mit falscher oder anonymer E-Mail-Adresse bzw. Namen so haben viele Firmen erst gar keine Lust, darauf zu reagieren. Nach meiner Erfahrung reagieren die meisten Firmen erst dann, wenn sich die Presse zusätzlich einschaltet. Seinen echten Namen als Whitehat angegeben zu haben, kann helfen - muss es aber nicht.

[email protected]

[email protected]

Welche der beiden ist jetzt die Fakemail? Normal wird bei so einer Mail direkt einer der Administratoren angesprochen. Ich kann mir kaum vorstellen das ein gut und sachlich formulierter Text einfach ignoriert wird. Zudem kann man ja auf recht vielen Wegen anonym Kontakt aufnehmen. Irgendwas wird einem da schon einfallen.

Ja, aber sie ignorieren es einfach, wie schon gesagt. Da nützt auch [email protected] nichts.

Deswegen verkauft man solche Lücken direkt an Geheimdienste :smiley: die Firmen wollen es nicht anders.

Impressum Datenschutzerklärung