Nachdem jetzt auch der zweite Versuch des JTL-Partners gescheitert ist, den Händlern eine schnelle und sichere Lösung für den Betrieb der Schnittstelle anzubieten, hat sich der Sicherheitsexperte, welcher das Leck aufdeckte, vom CCC inspirieren lassen und der Modern Solution GmbH & Co kostenlos eine Open-Source-Lösung zur Verfügung gestellt. Hier der GitHub-Link. Diese kann kostenlos benutzt werden, sodass ein Betrieb der Schnittstelle möglich ist.

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

(Vortrag auf dem CCC zu eine sehr ähnlichen Situation & die Reaktion der Hacker)

Nur für euch

Für euch bedeutet es, dass ihr nicht mehr unter dem Ausfall und möglichen Performance-Einschränkungen zu leiden habt. Für die Entwicklung des Hotfixes der ›moso.connect‹-Schnittstelle wurden circa 12 Mannstunden aufgewendet!

»Dies ist eine Beispielimplementation, wie man die jüngsten Sicherheitsprobleme der MoSo.Connect-Schnittstelle durch einfachste Mittel beheben kann.

Das Beispiel enthält einen Großteil der Client-Implementation (Ordner: Client) und einen Ansatz des Servers (Ordner: Api).

Beide Projekte teilen sich den Shared-Bereich, wo Dto-Objekte abgelegt sind. Der Server erstellt anhand der definierten Controller automatisch eine OpenAPI-Dokumentation«, so der Sicherheitsexperte & Entwickler.

Es ist zu hoffen, dass damit nun das leidige Thema um den JTL-Partner Modern Solution und sein Datenleck ein Ende findet. Im Nachgang werden noch etliche Frage aufzuarbeiten sein. Insbesondere muss die Rolle der Plattformen und des Wawi/ERP-Dienstleisters JTL Software betrachtet werden. Letztere hat sich ja durch seine Kultur, unter anderem der Zensierung und Informationsunterdrückung, nicht gerade beliebt gemacht.

An der Stelle sei angemerkt, dass auch JTL hier den Händlern mit überschaubarem Aufwand hätte unterstützen können. Und zwar indem sie für den Hotfix der Schnittstelle eigene Entwicklerressource freigestellt hätte …

Ende gut alles gut!

Der jetzige Hotfix erfüllt die durchschnittlichen Anforderungen an Sicherheit. Er kann sofort und kostenlos eingesetzt werden. Er ist Open Source und darf-kann-soll als Basis für weitere Verbesserungen dienen.

An dieser Stelle ein Dankeschön an moki11so, oder etwas umgestellt killmoso!

Bisherige Berichterstattung (zeitlich absteigend):

JTL-Partner Modern Solution: Neues Datenleck mit neuer Version moso.connect

Modern Solution Datenleck: ALLE Plattform-Endkundendaten einsehbar

Falsche Anzeige einer Datenschutzverletzung durch Modern Solution GmbH & Co. KG

Warnung: Datenleck beim JTL-Partner Modern Solution GmbH & Co. KG