Vulnerability

IT-Consultant Beboet Voor Het Ontdekken Van Kwetsbaarheid In E-commerce Database

Duitse IT-consultant, genaamd Hendrik H., heeft een ernstige kwetsbaarheid ontdekt in een e-commercedatabase die wordt beheerd door IT-dienstverlener Modern Solution GmbH. Deze fout heeft bijna 700.000 klantrecords blootgelegd, inclusief gevoelige informatie zoals namen, adressen, e-mailadressen, telefoonnummers, bankgegevens, wachtwoorden en meer.

Hendrik H. ontdekte dat het wachtwoord om toegang te krijgen tot de externe server in platte tekst was opgeslagen in het programmabestand MSConnect.exe, waardoor het gemakkelijk toegankelijk was. Deze beveiligingsfout opende de deur voor ongeautoriseerde toegang tot de database, waardoor niet alleen de gegevens van de consultant’s klant in gevaar kwamen, maar mogelijk ook die van alle klanten van Modern Solution.

Modern Solution minimaliseerde aanvankelijk de ernst van de blootgestelde gegevens en beweerde dat slechts beperkte informatie over shoppers die aankopen deden, werd beïnvloed. De consultant en een blogger betoogden echter dat uitgebreide klantgegevens van alle online winkels van klanten van Modern Solution waren gecompromitteerd.

In september 2021 nam de politie de computers van de IT-consultant in beslag op basis van een klacht van Modern Solution. Ze beweerden dat hij het wachtwoord alleen door voorkennis had kunnen verkrijgen. De consultant werd beschuldigd van onrechtmatige toegang tot gegevens op grond van het Duitse Wetboek van Strafrecht.

Een kantonrechter koos in juni 2023 aanvankelijk de kant van de adviseur, maar een recente uitspraak draaide dit terug, wat resulteerde in een boete van € 3.000. De recente boete en de rechterlijke beslissing hebben tot controverse geleid, met kritiek op het begrip van de rechtbank van cyberbeveiligingswetten.

Critici beweren dat rekening had moeten worden gehouden met de gebrekkige beveiligingsmaatregelen die door Modern Solution zijn geïmplementeerd. Het besluit schept volgens hen een zorgwekkend precedent dat legitiem beveiligingsonderzoek zou kunnen ontmoedigen door het volgens de Duitse wet als crimineel hacken te behandelen.

Lees het artikel van theregister voor meer informatie.