Archiv verlassen und diese Seite im Standarddesign anzeigen : SQL-Injections inwiefern strafbar?
Hallo, ich spiel aus Spass an der Freude an manchen Seiten öfters mal SQL-Injections durch. Ich muss dazu sagen, dass ich
- nie etwas manipulieren, höchstens die Möglichkeiten dazu auslote
- die gewonnenen Daten nicht weitergebe/verkaufe oder sonst wie missbrauch.
Ich schreib die Seiteninhaber danach immer an, und fordere sie auf das ganze in einem Monat zu beheben. Normalerweise wird das dann auch immer gemacht, und meistens bekommt man sogar eine nette Antwortmail mit einem Dank.
Einer meiner aktuellen Fälle, hat aber auf meine Mail, in der ich auf mehrere Lücken hinwies (SQL-Injections zum auslesen von sensiblen Kundendaten, Kontoinfos etc, sogar die Möglichkeit der Manipulation der Datenbank und ein paar XSS Schwächen, User~700) geantwortet, sie werden bei weiteren Mails einen Anwalt einschalten (und auch ansonsten war die Mail sehr unfreundlich). Es handelt sich um eine Firma in der Schweiz (ich bin in DE). Nach nun über 2 Monaten haben sie das immer noch nicht gefixt.
Inwiefern ist es gefährlich für mich nun irgendwelche [anonymisierten] Ausschnitte der DB ins Internet zu stellen, damit die mal was machen? Immerhin könnten längst 100 anderen die Daten verkaufen und missbrauchen.
Gruß
Tyrann
2008-03-10, 15:54:31
wenn du dir nicht 100% sicher bist daß diese Leute da dich nicht ausfindig machen können(z.B.: email, IP-Adresse) würde ich mir die Sache verkneifen.
auch wenn der dortige Webserver sicherheitstechnisch ein Schweizer Käse ist machst du dich durch deine SQLInjections(=hacken) strafbar
Mails + relanver Verkehr über TOR und über diverse ungesicherte (bzw. WEP-gesicherte) WLANs in der Umgebung. Und zwar der komplette Verkehr den ich jemals gemacht hab auf der Mailadresse. Diese ist bei einem sehr anoymen und zuverlässigen Hoster (Freund mit diversten Firmen auf Gibraltar).
Sephiroth
2008-03-10, 20:08:08
Da du das nicht im Auftrag der Firmen/Personen machst, handelt es sich beim durchführen der Injections schon um eine Straftat.
In Deutschland dürften da u.a. die §§ 202a - 204 StGb (http://dejure.org/gesetze/StGB/2) greifen.
Bei der Schweiz sicher u.a. Artikel 179 (http://www.admin.ch/ch/d/sr/311_0/a179novies.html)
Unbefugtes Beschaffen von Personendaten
Wer unbefugt besonders schützenswerte Personendaten oder Persönlichkeitsprofile, die nicht frei zugänglich sind, aus einer Datensammlung beschafft, wird auf Antrag mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft.
p.s.
Strafbarkeit von Hacking und Computerviren [RRZN] (http://www.rrzn.uni-hannover.de/hacking_viren-strafe.html)
Ok und was soll ich machen? Wie gesagt sind das sensible Informationen (Bank, Kreditkarten, Adressen, Mailadressen) - und inzwischen bekommt doch jeder 13-jährige solche SQL-Injections hin, wenn er sich ne Stunde mit dem Thema beschäftigt und SQL kann.
Lass lieber die Finger davon, denn das kann sich zum Bumerang für dich entwickeln. Auch wenn du deine Spuren gut verwischt hast, was wäre wenn jemand anderes auf dieselben Lücken stößt und sie kriminell ausnutzt. Die Firma wird alle Hebel in Bewegung setzen um dir an den Karren zu pissen, weil sie glaubt du hättest es getan. Ist ja nicht dein Problem und je mehr du dich darin verstrickst umso mehr läufst du Gefahr entdeckt zu werden.
Andere Frage wie sieht denn folgender Fall aus:
Ich habe letztens bei unserem Tennisverein einen dortigen Angestellten mit einem Laptop rumlaufen sehen. Er hat eine Tenniswebseite (die er offenbar betreut) dort hergezeigt. Natürlich bewacht er den Laptop nicht immer und hat, blöderweise, die Datenbank sperrangelweit offen (sprich: Adminoberfläche ist geöffnet).
Ich hab ihn darauf angesprochen, dass sich so jeder leicht die Datenbank kopieren/löschen kann wenn er grad mal wieder für 10 Minuten nicht da ist.
Eine Woche später wars derselbe Fall.
Ist dieser verantwortungslose Umgang mit fremden Daten nicht strafbar? Ich hätte ihn darauf hingewiesen, wenn ich die Antwort wüsste.
Es würde ja reichen den Computer im Abwesenheitsfall zu sperren (oder die Oberfläche zu schließen/abzumelden), denn ein solcher Zugriff wäre dann ja "unbefugt".
Ok und was soll ich machen? Wie gesagt sind das sensible Informationen (Bank, Kreditkarten, Adressen, Mailadressen) - und inzwischen bekommt doch jeder 13-jährige solche SQL-Injections hin, wenn er sich ne Stunde mit dem Thema beschäftigt und SQL kann.Genau das ist, neben der Straftat, dein größtes Problem. Was machst du, wenn ein solcher Jugendlicher einen Schaden verursacht und du zufällig etwa zur selben Zeit drin warst? Und Anonymisierung hin oder her, einen hunderprozentigen Schutz gibt es nicht, und Freunde sind schnell weg, wenn es um die eigene Haut geht.
Ist dieser verantwortungslose Umgang mit fremden Daten nicht strafbar?Solange nichts passiert wahrscheinlich nicht.
Aen-Die
2008-03-12, 22:16:15
eigentlich ist Datenschutz in Deutschland gesetzlich geregt. Aber was einem da blüht weiß ich leider nicht
lieni
2019-07-14, 23:36:07
Hallo, ich spiel aus Spass an der Freude an manchen Seiten öfters mal SQL-Injections durch. Ich muss dazu sagen, dass ich
- nie etwas manipulieren, höchstens die Möglichkeiten dazu auslote
- die gewonnenen Daten nicht weitergebe/verkaufe oder sonst wie missbrauch.
Ich schreib die Seiteninhaber danach immer an, und fordere sie auf das ganze in einem Monat zu beheben. Normalerweise wird das dann auch immer gemacht, und meistens bekommt man sogar eine nette Antwortmail mit einem Dank.
Einer meiner aktuellen Fälle, hat aber auf meine Mail, in der ich auf mehrere Lücken hinwies (SQL-Injections zum auslesen von sensiblen Kundendaten, Kontoinfos etc, sogar die Möglichkeit der Manipulation der Datenbank und ein paar XSS Schwächen, User~700) geantwortet, sie werden bei weiteren Mails einen Anwalt einschalten (und auch ansonsten war die Mail sehr unfreundlich). Es handelt sich um eine Firma in der Schweiz (ich bin in DE). Nach nun über 2 Monaten haben sie das immer noch nicht gefixt.
Inwiefern ist es gefährlich für mich nun irgendwelche [anonymisierten] Ausschnitte der DB ins Internet zu stellen, damit die mal was machen? Immerhin könnten längst 100 anderen die Daten verkaufen und missbrauchen.
Gruß
Also ich bin Schweizer, hier ist SQL Injection nicht strafbar. Strafbar ist, wenn man Seiten terstört, sich bereichert, Passwörter herausfindet oder esultate von Injections veröffentlicht oder verkauft.
Aber Du hast in Deiner Mail geschieben, die sollten das innert Monatsfrist beheben. Das allerdings sieht nach Erpressung oder zumindest Nötigung aus. Was wenn sie nicht reagieren (innert Monatsfrist), was drohst Du ihnen an?
Ok, wahrscheinlich nichts, dann unterlasse solche Aussagen, das macht das ganze illegal, nicht, dass Du die gehackt hast.
Ich bilde Informatiker aus. Lerne Sie auch, wie man hackt, sonst wissen sie nicht, was ihr Produkt erleiden könnte. Ich zeige den Studenten konkrete Fälle, mache die jeweiligen Opfer nicht noch darauf aufmerksam.
Deine Absicht ist sicherlich gut, Die Reaktion der Firma übertrieben, aber lass dich von derartigen Drohungen nicht ins Boxhorn jagen.
Nur weiter so, aber ohne Ultimaten
Gruss
Lieni aus der Schweiz
Sie sind sehr wohl auch in der Schweiz strafbar unter:
Wer auf dem Wege von Datenübertragungseinrichtungen unbefugterweise in ein fremdes, gegen seinen Zugriff besonders gesichertes Datenverarbeitungssystem eindringt, wird, auf Antrag, mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft. (STGB ART 143)
wobei "besonders gesichert" nichts über die Qualität sondern nur über das Vorhandensein einer Sicherung aussagt.
lieni
2019-07-18, 17:32:01
mit sql injection dringe ich nicht ein
Simon Moon
2019-07-18, 23:44:34
Bei der Schweiz sicher u.a. Artikel 179 (http://www.admin.ch/ch/d/sr/311_0/a179novies.html)
Aber es ist ja gerade das Problem, dass die Daten quasi frei zugänglich sind.
Zum Topic: schreib am besten mal denn CCC (Schweiz) an, dass die dem Arschloch mal sagen was Sache ist. Die kennen sich damit aus.
schokofan
2019-07-18, 23:47:42
Datum anyone? Ein besonderers dreister Fall von Thread Nekromantie.
Simon Moon
2019-07-19, 02:57:58
lol... ich wollte eigentlich nur schauen, was für ein Troll lieni (siehe seine Einzeiler-Posts) ist... dann hier nur die letzten 3 Daten angeschaut unds gar nicht bemerkt ;D
vBulletin®, Copyright ©2000-2024, Jelsoft Enterprises Ltd.