Heise.de berichtet von einem spannenden Vorfall, in dem die Firma Modern Solutions einen IT-Experten angezeigt haben soll, der auf eine Gefährdung von 700.000 Kundendaten hingewiesen hat. Gegenstand der Diskussion ist, ob der IT-Experte diese Lücke nur mit Insiderwissen auf Grund einer Vorbeschäftigung habe finden können. Laut Heise.de wird gegen den IT-Experten „unter anderem wegen des Ausspähens von Daten, Datenhehlerei und Verstoßes gegen das Bundesdatenschutzgesetz ermittelt“, sogar eine Hausdurchsuchung im Rahmen der Ermittlungen soll bereits stattgefunden haben. Auch wenn laut des Artikels Vorbeschäftigungen bei einem Hersteller der eingesetzten Software vorlagen, ist die spannende Frage ab wann diese Informationen Grundlage für das Auffinden der Sicherheitslücke waren. Darüber hinaus argumentiert laut des Artikels die Firma Modern Solutions, dass ein Kompilieren von Quellcode bereits einen wirksamen Schutz gegen Angriffe zum Auslesen von Passwort-Strings darstelle. Nach dem Stand der Technik im Bereich des Reverse Engineerings kann dies stark bezweifelt werden. Heise Online konnte im Rahmen der Recherchen diese These bereits mit Standard-Tools und öffentlichen Quellen der Software widerlegen und verweist auf ein kürzlich ergangenes EuGH Urteil das zu den Schluss kommt, dass Reverse Engineering mit dem Ziel der Fehlerkorrektur in bestimmten Fällen legal sei.
Quellen:
https://www.heise.de/news/Datenleck-Anzeige-gegen-IT-Experte-kam-von-Modern-Solution-6254839.html
https://www.heise.de/news/EuGH-Recht-auf-Reverse-Engineering-zur-Fehlerkorrektur-6215679.html