Illegale Abfrage von Kundendaten im Plugin gefunden

Hallo!

Bezugnehmend auf meinem Beitrag in diesem Thread https://forum.shopware.com/discussion/comment/187716/#Comment_187716 sind noch ein paar Fragen ungeklärt. 

Es gibt ja nicht nur unseriöse Kunden, Händler etc. sondern wie in meinem Beitrag offensichtlich, auch Entwickler die gegen geltendes Recht und Herstellervertrag verstoßen. Wer garantiert eigentlich dafür das sich in den verschlüsselten Plugins kein Schadecode befindet, oder Umsätze und diverse andere Daten abgefragt werden?

Klar ist das strafbar, das wird aber jemanden mit krimineller Energie, nicht davon abhalten. Ich will hier keinen was unterstellen, aber aufgrund von diesem Vorfall, bin ich etwas beunruhigt nicht zu wissen was in den verschlüsselten Plugins alles an Code enthalten ist. 

Welche Konsequenzen hat das nun für den Plugin-Entwickler?

Lg

Was soll es den für Konsequenzen haben? Es gibt nur A oder B.

Aber wie will man sich davor schützen? Ich glaube nicht das Shopware jede Codezeile eines Plugins durchsieht…

 

Als Tip:

  • Kauf nur da wo du meinst, dass es ok ist (Ruf vorher an und stell Kontakt her).

  • Kauf nicht jedes Plugin (weniger ist mehr).

 

 

Ah, und noch einmal draufhauen!!!

Reicht es nicht das es schon einen Thread gibt, wo man sich über den „bösen“ Pluginhersteller aufregt.

Eine ganz wichtige Sache sollte zu bedenken sein:

Darf jeder Unterstellungen machen?

Zitat:

„Es gibt ja nicht nur unseriöse Kunden, Händler etc. sondern wie in meinem Beitrag offensichtlich, auch Entwickler die gegen geltendes Recht und Herstellervertrag verstoßen.“

Ab diesem Satz bewegt sich der Threadersteller auf SEHR dünnem Eis!!!

Es wird dem Pluginhersteller eine Straftat (!!!) vorgeworfen!!!

Woher bitte weiß denn der Threadersteller welcher Herstellervertrag akzeptiert wurde?!

Diese Firma DARF sogar eine eigene Lizenzprüfung integrieren, da dies in dem sehr alten akzeptierten Herstellervertag nicht verboten war und ist!!!

Dieser Vertrag ist noch gültig!!!

Daher möchte ich auch den Moderator bitten solche Aussagen SEHR sorgfältig zu prüfen, das der Pluginhersteller sich strafbar gemacht hat!!!

Vieleicht wäre es besser den Thread bis zu Klärung auf Eis zu legen, da solche Aussagen, welche von falschen Fakten ausgehen, den Ruf und das Ansehen dieses Pluginherstellers zerstören!!!

 

@hoppler schrieb:

Ah, und noch einmal draufhauen!!!

Reicht es nicht das es schon einen Thread gibt, wo man sich über den „bösen“ Pluginhersteller aufregt.

Eine ganz wichtige Sache sollte zu bedenken sein:

Darf jeder Unterstellungen machen?

Zitat:

„Es gibt ja nicht nur unseriöse Kunden, Händler etc. sondern wie in meinem Beitrag offensichtlich, auch Entwickler die gegen geltendes Recht und Herstellervertrag verstoßen.“

Ab diesem Satz bewegt sich der Threadersteller auf SEHR dünnem Eis!!!

Es wird dem Pluginhersteller eine Straftat (!!!) vorgeworfen!!!

Woher bitte weiß denn der Threadersteller welcher Herstellervertrag akzeptiert wurde?!

Diese Firma DARF sogar eine eigene Lizenzprüfung integrieren, da dies in dem sehr alten akzeptierten Herstellervertag nicht verboten war und ist!!!

Dieser Vertrag ist noch gültig!!!

Daher möchte ich auch den Moderator bitten solche Aussagen SEHR sorgfältig zu prüfen, das der Pluginhersteller sich strafbar gemacht hat!!!

Vieleicht wäre es besser den Thread bis zu Klärung auf Eis zu legen, da solche Aussagen, welche von falschen Fakten ausgehen, den Ruf und das Ansehen dieses Pluginherstellers zerstören!!!

 

Die Anzahl der Ausrufezeichen führt nicht dazu, dass man dich ernster nimmt. Ich würde dich bitten auf deine Wortwahl zu achten und weniger provokativ-offensiv zu sein und stattdessen produktive und konstruktive Kritik zu äußern. Das ein Kunde erstmal über solche Geschäftspraktiken verwundert ist, ist erstmal normal. Zudem hier im Forum an keiner Stelle der Name des Herstellers genannt wurde. 

7 „Gefällt mir“

Ach ja, noch etwas:

Illegale Abfrage von Kundendaten im Plugin gefunden

Welche Kundendaten wurden übertragen?

Der Pluginname und wann das Plugin installiert wurde.

Und schon wieder sind wir bei dem Thema:

Diese Überschrift suggeriert das Kundendaten (persönliche Daten, o.ä.) übertragen wurden,bzw. gestohlen wurden, was nicht der Fall ist!!!

Dieser Thread sollte definitiv von der Rechtsabteilung bei Shopware genauestens in Augenschein genommen werden.

Selbst in diesem Forum gibt es keinen rechtsfreien Raum.

Es wird so viel hinzugedichtet, weshalb sich mir die Frage stellt:

Darf man hier jeden einer Straftat, bzw. des Datenklaus beschuldigen, was gar nicht den Fakten entspricht?

Wie lange ist dieser Code schon in dem Plugin?

1 Woche, 1 Monat, 1 Jahr?

Nur ein kleiner Tip:

Manchmal sollte genau überlegt werden, wenn man solche schwerwiegenden Aussagen trifft - es könnte zu einem ausgewachsenen Rechtsstreit kommen, wobei natürlich Shopware mit involviert würde.

 

 

Was hast Du denn für ein Problemn? Bist Du besagter Pluginanbieter?
Alleine was in dem SQL abgefragt wird, und ohne Einverständniserklärung per E-Mail verschickt wird, ist eine Straftat - schrei mal nicht so rum.
Somal ja offensichtlich die Liste der abgefragten Daten im Forum nicht vollständig ist.

Also: Woher hast Du Dein Wissen, dass keine „persönlichen Daten übertragen wurden“?
Shopware wird den Händler wohl sicherlich nicht ohne weitere Prüfung gesperrt haben (siehe Sebastian)

Danke für die schnelle Antwort, Herr Naczenski,

nun, ich ereifere mich etwas wegen diesem Thema, da Aussagen getroffen werden, die auf sehr wackeligen Beinen darstehen.

Ich kenne den Pluginhersteller, weiß also um welches Firma es geht.

Und ich weiß natürlich das dieser Code nicht dazu diente Daten zu sammeln, sondern einfach nur um schnellstmöglich auf eventuelle Fehler im Plugin reagieren zu können.

Aber sofort ein riesiges „Faß“ aufzumachen und den Pluginhersteller als regelrechten Straftäter hinzustellen finde ich dann schon etwas sehr übertrieben.

Dieser Pluginhersteller hat über 1000 Plugins verkauft - die Kundnbewertungen sind sehr gut und es kam noch nie eine Beschwerde von einem Kunden.

Daher bin ich leider sehr verärgert was diese ganze Sache betrifft.

Hallo Sonic,

wenn man schon Aussagen trifft, dann sollten die auch logisch untermauert sein.

Vieleicht mal SQL lernen!

Dann wüßte man auch was man behauptet.

$sql = "SELECT * FROM `s_core_plugins` WHERE name LIKE '.....";

Ich würde gerne einmal sehen, wie man hierüber persönliche Daten übertragen kann???

 

Ist ja nur eine Code-Zeile - und der längere Code-Teil vorne ist auch nur ein Fragment - sieht man ja an den Variablen - für mich unvollständig und nix erkennbar.
Es ist und bleibt Ausspähen von Daten *PUNKT*

Wüsste auch nicht, wie die Kenntnis über eine (Test)-Instalation zur “schnellstmöglich reaktion auf Fehlern” führen soll. *Schutzbehauptung*

Wie gesagt: Es wird weder der Anbieter noch das Plugin genannt - ist also HIER keiner geschädigt, verleumdet etc. Sind doch nicht bei Trumps hier!

Ich denke, dass es weniger darum geht, welche Daten hier übermittelt werden, sondern vielmerhr darum, dass ungefragt  eine Mail verschickt wird, die spezifische Daten aus dem Shop enthält. Konkret die Domain und die Daten zum Plugin (Installationsdatum, Updatedatum usw.). 

3 „Gefällt mir“

Dann könnte man ja im Plugin selbst darauf hinweisen welche Daten konkret übertragen werden und eventuell noch eine Checkbox einbauen, in dem jedem freigestestellt wird, ob diese Daten verschickt werden dürfen oder nicht.

2 „Gefällt mir“

Der einzige der hier von persönlichen Daten redet bist du @hoppler‍

Alle anderen reden nur von Daten oder Kundendaten. Und Informationen über URL, Installationsdatum usw. die man sehr wohl so abfragen kann und offensichtlich auch tut sind Kundendaten. Nämlich Daten über Kunden des Herstellers bzw. eigentlich Kunden von Shopware. Und diese werden ohne Genehmigung per eMail in der Gegend herum geschickt.

Wobei man noch dazu sagen muss, dass man aus dem Auszug des Quellcodes nicht entnehmen kann WANN diese Daten verschickt werden. Sollten die wirklich bei Installation o.ä. automatisch verschickt werden ist es eine Sauerei und es wird sich zu Recht darüber aufgeregt. Sollte der Shopbetreiber diese Mail bewusst anstoßen können mit dem Hinweis, dass dabei diese Daten an den Hersteller geschickt werden wäre es okay.

Bei einem Punkt kann ich dir allerdings zustimmen: Es wird zuviel spekuliert. Allerdings hilft dein Auftreten nicht gerade dabei sinnvoll darüber zu reden sondern bewirkt eher das Gegenteil.

Nun, ich bin da etwas anderer Ansicht.

Es ist natürlich wichtig zu wissen welche Daten übertragen werden. Sind es persönliche Kundendaten, eventuell sogar Bankdaten oder andere sensible Daten.

Und eine Sache: War dieses Verbot des Datensammelns auch in dem alten - nicht neuen - Herstellervertrag vorhanden?

Sollte dies nämlich nicht der Fall sein, dann hat der Pluginhersteller ja auch nicht gegen den Vertrag verstoßen.

Und diese ganze Diskussion wäre absolut überflüssig.

@hoppler schrieb:

Und eine Sache: War dieses Verbot des Datensammelns auch in dem alten - nicht neuen - Herstellervertrag vorhanden?

Sollte dies nämlich nicht der Fall sein, dann hat der Pluginhersteller ja auch nicht gegen den Vertrag verstoßen.

Und diese ganze Diskussion wäre absolut überflüssig.

Selbst wenn es nicht im Vertrag steht darfst du nicht einfach ohne Zustimmung des betreffenden Daten über sein System sammeln und in der Gegend herum schicken. Völlig unabhängig vom Herstellervertrag.

Und selbst wenn man es dürfte gehört es sich einfach nicht :wink:

1 „Gefällt mir“

Danke - das ist mal eine Aussage!

Hallo zusammen,

um das Them der Quelloffenheit mal ein wenig mehr zu thematisieren, stütze ich mich mal auf den Threadersteller: 

@Vitago GmbH schrieb:

Hallo!

Bezugnehmend auf meinem Beitrag in diesem Thread https://forum.shopware.com/discussion/comment/187716/#Comment_187716 sind noch ein paar Fragen ungeklärt. 

Es gibt ja nicht nur unseriöse Kunden, Händler etc. sondern wie in meinem Beitrag offensichtlich, auch Entwickler die gegen geltendes Recht und Herstellervertrag verstoßen. Wer garantiert eigentlich dafür das sich in den verschlüsselten Plugins kein Schadecode befindet, oder Umsätze und diverse andere Daten abgefragt werden?

Klar ist das strafbar, das wird aber jemanden mit krimineller Energie, nicht davon abhalten. Ich will hier keinen was unterstellen, aber aufgrund von diesem Vorfall, bin ich etwas beunruhigt nicht zu wissen was in den verschlüsselten Plugins alles an Code enthalten ist. 

Welche Konsequenzen hat das nun für den Plugin-Entwickler?

Lg

Grundsätzlich gibt es kein Recht auf Quelloffenheit außer ein Vertrag sieht das vor. Unzählige Programme werden tag täglich heruntergeladen die NICHT quelloffen sind, um sich effektiv vor Diebstall zu schützen. Zumindest war das bisher ein Irrglaube der langsam anfängt zu bröckeln.

Keine Windows Version war bisher quelloffen. Also theoretisch musst du auch Microsoft vertrauen, dass dort keine persönlichen Informationen verschickt werden. Darauß kann man nicht gleich einen Fallstrick für alle Entwickler hier bei Shopware ziehen. Zumal ja Microsoft des öfteren negativ aufgefallen ist.

Darüber hinaus bin ich dafür, dass es eine QA Abteilung geben sollte, die solche Abfragen wie mails_send prüft. Sollte ja nicht so schwer sein nach speziellen Funktionen im quellcode zu suchen. Shopware ist ja kein kleines Unternehmen mehr, dem es schwer fallen würde, gewisse Standards halten zu können. Vor allem in einem Store wo praktisch jeder verkaufen könnte! Ob er nun ein Jurist, Programmierer, Templater oder gar nichts ist.

Hallo,

der Hersteller sollte mal nicht so rumschreien, und froh sein wenn ihm keine Klage ins Haus flattert. Daten sammeln und sich diese dann auch noch per Mail ohne Einverständnis zusenden lassen, ist nicht erlaubt. Das ist nun mal Fakt, und es gibt darüber auch OGH Entscheidungen, einfach mal googeln. 

Ausserdem hat SW die ganzen Plugins sicher nicht ohne Grund entfernt, hier handelt es sich also nicht um eine Unterstellung, sondern um einen nachweislichen Verstoß.

Am besten also vorher Hirn einschalten, und sich informieren was erlaubt ist und was nicht. Und wenn man schon einen Fehler macht, sollte man sich diesen wenigstens eingestehen, und sich bei seinen Kunden entschuldigen. Einsicht? Fehlanzeige! 

Also ich find es gut, dass SW so schnell reagiert hat und dem Typen alle Plugins gestrichen hat. Danke dafür. Ich würde vll Shopware vorschlagen, dass sie vor der Verschlüsselung in den PLugins nach externen URL-Aufrufen und nach der Mail Funktion durchsucht, wenn das geht. Ansonsten kann ich nur empfehlen bei jedem Fremd-Plugin den Hersteller zu kontaktieren und nach einer unverschlüsselten Version zu bitten. Hat bis jetzt immer geklappt, Teilweise hat man dabei das Plugin im Store gekauft und der Hersteller hat einem dann eine Version via Email geschickt, oder man hat es gänzlich ohne den Store geregelt.

1 „Gefällt mir“

Und schon sind von dem Hersteller wieder alle Plugins online. Die versprochene Info im anderen Thread https://forum.shopware.com/discussion/comment/187716/#Comment_187716 blieb aus.

Nun weiß jeder Hersteller das er bei einem Verstoß, nicht mit all zu großen Konsequenzen zu rechnen hat. Hier scheint wohl die Kohle (Provision) für SW im Vordergrund zu stehen.  Angry-Face

Unglaublich das so ein Hersteller weiterhin Plugins anbieten darf…