Nachdem jetzt auch der zweite Versuch des JTL-Partners gescheitert ist, den Händlern eine schnelle und sichere Lösung für den Betrieb der Schnittstelle anzubieten, hat sich der Sicherheitsexperte, welcher das Leck aufdeckte, vom CCC inspirieren lassen und der Modern Solution GmbH & Co kostenlos eine Open-Source-Lösung zur Verfügung gestellt. Hier der GitHub-Link. Diese kann kostenlos benutzt werden, sodass ein Betrieb der Schnittstelle möglich ist.
(Vortrag auf dem CCC zu eine sehr ähnlichen Situation & die Reaktion der Hacker)
Nur für euch
Für euch bedeutet es, dass ihr nicht mehr unter dem Ausfall und möglichen Performance-Einschränkungen zu leiden habt. Für die Entwicklung des Hotfixes der ›moso.connect‹-Schnittstelle wurden circa 12 Mannstunden aufgewendet!
»Dies ist eine Beispielimplementation, wie man die jüngsten Sicherheitsprobleme der MoSo.Connect-Schnittstelle durch einfachste Mittel beheben kann.
Das Beispiel enthält einen Großteil der Client-Implementation (Ordner: Client) und einen Ansatz des Servers (Ordner: Api).
Beide Projekte teilen sich den Shared-Bereich, wo Dto-Objekte abgelegt sind. Der Server erstellt anhand der definierten Controller automatisch eine OpenAPI-Dokumentation«, so der Sicherheitsexperte & Entwickler.
Es ist zu hoffen, dass damit nun das leidige Thema um den JTL-Partner Modern Solution und sein Datenleck ein Ende findet. Im Nachgang werden noch etliche Frage aufzuarbeiten sein. Insbesondere muss die Rolle der Plattformen und des Wawi/ERP-Dienstleisters JTL Software betrachtet werden. Letztere hat sich ja durch seine Kultur, unter anderem der Zensierung und Informationsunterdrückung, nicht gerade beliebt gemacht.
An der Stelle sei angemerkt, dass auch JTL hier den Händlern mit überschaubarem Aufwand hätte unterstützen können. Und zwar indem sie für den Hotfix der Schnittstelle eigene Entwicklerressource freigestellt hätte …
Ende gut alles gut!
Der jetzige Hotfix erfüllt die durchschnittlichen Anforderungen an Sicherheit. Er kann sofort und kostenlos eingesetzt werden. Er ist Open Source und darf-kann-soll als Basis für weitere Verbesserungen dienen.
An dieser Stelle ein Dankeschön an moki11so, oder etwas umgestellt killmoso!
Bisherige Berichterstattung (zeitlich absteigend):
JTL-Partner Modern Solution: Neues Datenleck mit neuer Version moso.connect
Modern Solution Datenleck: ALLE Plattform-Endkundendaten einsehbar
Falsche Anzeige einer Datenschutzverletzung durch Modern Solution GmbH & Co. KG
Warnung: Datenleck beim JTL-Partner Modern Solution GmbH & Co. KG
Pack dir mal an Kopf und prüfe erstmal deine eigene Seite bevor du andere Firmen so in den Dreck ziehst. Könnte kotzen wenn ich so ein Bullshit hier lese.
… na, schlechter Laune, oder kannst du einfach nichts sinnvolles beitragen? Wenn ich einen Mangel auf meiner Seite habe, dann benenne ihn doch einfach. Kannste nicht, oder?
@”Peter” Danke für deine “konstruktive” “Kritik”, ich möchte nur für zukünftige Leser kurz darstellen, was es mit dem “ethischen Hacker” auf sich hat und warum ich dieses Wort gewählt habe und warum ich es absichtichtlich in Anführungszeichen aufführe. Es ist schlicht und ergreifend ein Titel, den mir die Modern Solution GmbH & Co. KG verliehen hat. Und Geschenke, so wirde es mir Beigebracht, soll man aus Höflichkeit nicht ablehen, wie auch meine kleine Spende. Zwinkersmiley.
Schauen Sie sich mal Ihre Beiträge an, das sind geistige Ergüsse!
Chapeau und adieu!
@moki11so Das ist alles so niederträchtig und perfide. Wenn man eins und eins zusammenzählt, entsteht der Verdacht die Aktion wurde von Ihnen beiden* geplant. Es ist eine große Schande in Ihren Beitragen das Wort Ethical Hacker zu benutzen. Ein CEH zertifiziert oder nicht würde niemals so einen nachhaltigen Schaden verursachen. Da kann man nur hoffen das Sie aufgrund Ihrer Aktion nicht ins Fadenkreuz einer CEH Gruppe oder eines einzelnen geraten. Wobei – das wäre vermutlich sehr spannend und Aufschlussreich für alle.
** Lassen wir uns überraschen. **
* Sofern @mokie.. nicht ein Fake von Herrn Steier ist – weil Herr Steier ja gern bei Facebook selbstgespräche mit seinen Fake Accounts führt.
Herr Steier, Sie schreiben es wäre ein Hotfix damit Moso und Kunden die Schnittstelle wieder in betrieb (Sicher) nehmen kann. Was für eine unautorisierte Aussage Sie da treffen. Erstmal – sofern Code von Moso bestandteil dieses *Fixes ist, haben Sie ein urheberrechtliches Problem.
Clickbaiting ist das – nichts anderes. Einen tatsächlichen Nutzen hat niemand davon, ausser Sie – zumindest glauben Sie das – indem Sie die Leute verwirren und Ihre schon längt abhanden gekommene Glaubwürdigkeit weiter untergraben.
Ergänzend – Nein hier steht keiner im Privaten oder Geschäftlichen Verhältnis mit den Beiteiligten. Aufmerksam wurden Wir indem Sie den CEH erwähnten.
>unautorisierte Aussage< , ich brech zusammen. Mehr brauche ich glaube ich nicht zu schreiben. Und btw. denk mal nach, also wenn du kannst: wenn ich Informationen manipulieren oder verändern möchte, würde ich dann deine geistigen Ergüsse hier freigeben, oder würde ich sie in den Papierkorb schmeißen. Junge, Junge, Junge....
Hallo Peter, das Update richtet sich vor allem an MoSo. Das Repo ist ein WIP, also noch nicht vollständig fertig. In dem Aufbau muss MoSo aktiv werden, ein paar Funktionen einbauen und vor allem den Api-Teil einrichten. MoSo kann dann auch den Abgleich durchbauen und euch, den Kunden, zur Verfügung stelle. Wenn ich die Software vollständig zusammengebaut geliefert hätte, hätte man mir vorwerfen können, Schadsoftware an die Kunden von MoSo zu liefern und das ist nicht meine Intention.
Herr Steier, Sie leiden vermutlich an einer Krankheit! Ihre Veröffentlichungen im Social Media erzielt keine Interaktionen. Warum – weil Sie ein übler Schwätzer sind, der von der eigentlichem Materie keinen Schimmer hat. Zum Glück haben das die meisten bereits verstanden. Jetzt fehlt eigentlich nur noch das Sie es auch endlich begreifen und Ihre perfiden Spielchen einstellen. Sie wissen ohnehin selbst am besten wie minderwertig Ihr Beitrag für die Community ist.
Zu Ihrer Samarita Leistung oder einfach “Hotfix”. Welcher Händler kann damit etwas anfangen? Können Sie den Quellcode aus dem Git in eine lauffähige Umgebung überführen? Wohl kaum – weil Sie ja keine Ahnung haben, Sie sind schließlich kein Programmierer.
Darüber hinaus – wer ist so leichtsinnig und setzt irgendwelchen Code von jemandem ein – der im voraus einem Unternehmen exorbitanten Schaden angerichtet hat.
Eins haben Sie gut gemacht, Sie haben für Aufmerksamkeit gesorgt. Prima! Nach jedem Höhenflug kommt der Fall – ich wünsche Ihnen ein schwarzes Loch 🙂
Schöne Grüße
Wie bereits von einem anderen Geschrieben ist, der Hotfix richtet sich an Modern Solution damit diese ihre Anwendung sicher in betrieb nehmen können und DANN Händler keine Ausfälle mehr haben. Mir erschleicht sich aber der Verdacht, dass sie das überhaupt nicht sehen/lesen wollen. Ihr Ziel ist es zu stänkern. Sind sie ein Vertreter der Modern Solution, oder warum müssen sie anonym posten? Welchen Grund hat das?
Herr Steier, was betreiben Sie hier eigentlich für ein Spiel. Ihre Bedeutung der eigenen Person in übertriebener Weise in den Vordergrund stellen zu wollen ist abartig und ganz sicher in keinster – nicht mal ansatzweise – hilfreich für die geschädigten Händler und Dienstleister.
Seriöse Contentcreator bleiben sachlich und berichten von den Problemen ohne auf eine Persönliche Ebene abzuschweifen.
Ihre kostenlose Lösung: Das unterstreicht Ihre inkompetenz. Sie wollen den Händlern eine Lösung anbieten und klatschen ein Git Repository in Ihren Beitrag. Das ist so lächerlich!
… wo vermisst du in diesem Artikel Sachlichkeit. Und was ist daran keine Lösung, dass ein Entwickler hier einen Hotfix am WE geschrieben hat?