Die 3CX MySQL-Sicherheitslücke und der Umgang mit Kritik durch den Anbieter

Stop - Pixabay[English]Kürzlich gab es eine Warnung an Kunden des Telefonanlagen-Anbieters 3CX, die eine SQL-Datenbank für CRM-Zwecke in die Software eingebunden haben. Ich hatte über den Sachverhalt im Blog-Beitrag 3CX-Warnung: SQL-Datenbankintegrationen deaktivieren (15. Dez. 2023) berichtet. Nutzer der 3CX-Software beklagten sich über die schleppende Bearbeitung der frühzeitig gemeldeten Sicherheitslücke. Ein Nutzer hat mich im Nachgang dann per Mail kontaktiert, weil  auf Kritik im Forum des Anbieters sehr speziell reagiert wurde: Die Beiträge wurden gelöscht. Und der Account des Lesers wurde auch gesperrt – aber das Ganze lässt sich rekapitulieren, was ich nachfolgend getan habe.


Anzeige

Hintergrundinformationen zu 3CX

3CX ist ein Softwareentwicklungsunternehmen und Entwickler der gleichnamigen 3CX Telefonanlagen-Software. Es ist ein komplettes Geschäftskommunikationssystems, das Telefonanrufe, Videokonferenzen, Live-Chat, Facebook und die Integration eingehender WhatsApp-Nachrichten umfasst. Das Unternehmen wurde 2005 gegründet und hat laut Wikipedia ca. 200 Beschäftigte (Stand 2018).

Einerseits scheint die 3CX Telefonanlagen-Software im breiteren Einsatz zu sein. Anderseits ist 3CX 2023 durch zwei Sicherheitslücken aufgefallen (siehe Links am Artikelende). Die schleppende Bearbeitung einer Sicherheitslücke bei der 3CX MySQL-Integration (siehe Blog-Beitrag 3CX-Warnung: SQL-Datenbankintegrationen deaktivieren (15. Dez. 2023)) hat zu Kopfschütteln und Ärger bei verschiedenen Nutzern geführt – wie ich an Reaktionen von Administratoren auf Facebook festgestellt habe.

Kritik im 3CX-Forum nicht erwünscht

Blog-Leser Jörn V. hat mich vor Weihnachten per E-Mail kontaktiert, weil er die Sicherheitslücke CVE-2023-4995 mitbekommen hatte und dann den Fall auch in den 3CX-Foren verfolgte. Dort gibt es seit dem 15. Dezember 2023 den Thread Security Vulnerability – SQL Integration zum Thema. Mag für den einen oder anderen Nutzer hilfreich sein, die Forenbeiträge durchzugehen.

Jörn schrieb mir aber, dass am Freitag 15.12.2023 zwei kritische Beiträge als Reaktion auf die neue Sicherheitslücke und den Umgang von 3CX damit auftauchten. Kurz danach seien die beiden Beiträge wieder verschwunden, teilte mir der Leser mit.

3CX Forum posts

Ich habe in obigem Screenshot mal die aktuelle Timeline als Auszug zwischen mehreren Posts dargestellt. Nun kann es ja durchaus Gründe geben, warum Beiträge gelöscht werden (müssen).

Als Blog-Betreiber stehe ich gelegentlich auch vor der Notwendigkeit, Kommentare löschen (oder bereits in der Moderation blockieren und gleich löschen) zu müssen. Das reicht von SEO-Kommentar-Spam zu Diskussionen, die in Persönliches ausarten oder irgendwie sonst abdriften. Wenn jemand meint, an seinen wenigen Zeilen umfassenden Kommentar komplette Psalmen oder Auszüge aus den Evangelien anhängen zu müssen, wird es in einem IT-Blog schwierig – um einen aktuellen Fall aufzugreifen. Ich habe diesen Teil im Kommentar gelöscht und gebeten, bitte auf so etwas zu verzichten – worauf der Betroffene mit Unverständnis reagierte. Glücklicherweise habe ich Mechanismen im Blog, um entsprechend zu filtern und Nutzer auch zu sperren. Als der nächste Kommentar mit einem religiösen Auszug einschlug, wurde die betreffende Person gesperrt und ich habe beide Kommentare gelöscht. Gibt einige weitere – aus meiner Sicht unerfreuliche Vorfälle, wo ich als Blog-Betreiber eingreifen musste – macht mir keine Freude und die Betroffenen schreien u.U. per Mail Zeter und Mordio – lösche ich inzwischen rigoros und ungelesen. Kommentare bleiben nach dem Löschen übrigens in der Regel noch einige Tage im Papierkorb, und ich lese die dann, nachdem ich das Ganze ggf. mehrfach überschlafen habe. Manchmal gebe ich einen Kommentar dann doch frei – manchmal wird endgültig gelöscht. So viel Einblick "in den Maschinenraum des Blogs" Ich habe daher durchaus eine dedizierte Sichtweise auf das hier gegenständliche Thema "Löschungen im 3CX-Forum".

Der Blog-Leser wies mich aber darauf hin, dass das Ganze vom Internet-Archiv per Schnappschuss gesichert wurde – das Ergebnis ist hier abrufbar. Nachfolgender Screenshot zeigt diese Stelle.

Deleted 3CX Forum Posts


Anzeige

Ich kann da ad-hoc nichts erkennen, was ein Löschen rechtfertigen kann. Das die Timeline bei der Aufdeckung der Schwachstelle bis zur Reaktion von 3CX für das Unternehmen keinesfalls schmeichelhaft war, hatte ich in meinem Blog-Beitrag auch thematisiert. Und es sollte auch die Frage gestellt werden dürfen, warum eine CERT ein Unternehmen wie 3CX 45 Tage lang nicht erreichen konnte.

Deleted 3CX Forum Posts

Das Verschwinden der Beiträge hat den Leser dann dazu motiviert, auch einen Beitrag zum Thema zu schreiben (siehe obigen Screenshot). Man könnte jetzt raten, was passiert: Nach zwei Stunden war dann auch dieser Beitrag wieder verschwunden.

3CX mag anscheinend keine kritischen Stimmen zum Thema, schloss der Leser daraus. Aber es kommt noch bemerkenswerter, wie der Leser feststellen musste. Dazu schrieb Jörg, dass 3CX (vermutlich als Reaktion auf kritische Stimmen im Forum in der Vergangenheit) vor einiger Zeit seine Forumsregeln dahingehend geändert hat, dass man nur als Kunde mit 3CX-Abonnement dort posten kann.

Free Account und Lizenz gesperrt

Der Leser hatte für das Posten seines Beitrags einen Account verwendet, der auf einer 3CX Free Subscription basierte (die gibt es inzwischen nicht mehr, war nur noch für "Bestandskunden" möglich). Nach dem Löschen des Beitrags durch 3CX war der Account des Leser im Forum natürlich direkt gesperrt, Begründung "SPAM".

Der Leser hatte noch eine Mail von Nick Galea (3CX CEO) persönlich im Postfach, das für den nun gesperrten Account hinterlegt war. Der Inhalt der Mail war wie folgt:

Please find another product to use rather then our free license.

regards,

Nick galea

Der Leser schreibt, dass demzufolge Nick Galea mutmaßlich persönlich die Free Subscription für den Account gecancelt habe und vermutet, dass die Kritik den CEO getroffen habe. Der Leser zählt die dem letzten 3CX-Sicherheitsdesaster (Supply Chain Attack auf die 3CX Desktop App, siehe meine Links am Artikelende) und den neuen Vorfall auf.

3CX-Sicherheitsinitiative Schall und Rauch?

Der Leser verwies auf den Post Actions not words – Our 7 Step Security Action Plan! von Galea im April 2023, als Reaktion auf den Supply-Chain-Angriff. Sollte damals eine große Kehrtwende in Sachen Sicherheit bei 3CX werden. In obigem Kontext sieht es aber für mich nicht so aus, als ob der CEO auch wirklich Taten folgen lassen will.

Der Leser meint dazu: "Ich finde auch anderen Nutzer von 3CX sollten sich einen Eindruck machen können, wie 3CX wirklich zum Thema Sicherheit steht und wie man mit kritischen Stimmen zum Thema umgeht."

Ähnliche Artikel:
Schwachstelle in Windows 3CX-Telefonanlagen, Patchen ist angesagt
3CX Desktop-App in Supply-Chain-Attack infiziert (29. März 2023)
Ergänzende Informationen zur kompromittierten 3CX Desktop-App
3CX-Warnung: SQL-Datenbankintegrationen deaktivieren (15. Dez. 2023)
31.000 3CX-Telefonanlagen in Deutschland per Internet erreichbar


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Allgemein, Software abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

29 Antworten zu Die 3CX MySQL-Sicherheitslücke und der Umgang mit Kritik durch den Anbieter

  1. rpr sagt:

    Hallo,
    ein Klassiker zum Jahresende.
    Überforderung, Ignoranz und fehlende Gechäftsehtik führen schnell zu einer solchen Reaktion.
    Da kann man als Kunde nur eine Ablösung der Produkte anschieben.
    Gruß und guten Rutch

  2. Luzifer sagt:

    Also das ist nix ungewöhnliches Firmen löschen gerne mal Kritik in ihren Foren (und diese Kritik ist durchaus sachlich, weder beleidigend noch sonst gegen ein Gesetz verstoßend) Anscheinend will man das "weisse Image" nicht durch Post die auf Fehler hinweisen beschmutzen. Ein Fleck auf der weissen Weste fällt halt auf!
    Ich würde fast schon behaupten ein übliches Vorgehen, deswegen empfielt sich Kritik da auch eher auf externen Platformen wie Trustme; Trust Pilot & Co,wo die Firmen keinen direkten Einfluss haben.

    Auf der anderen Seite gilt aber halt auch: wie man in den Wald hineinschreit, schallt es heraus. (Gerade in Foren ;-P)

    • Anonymous sagt:

      "15 year old programmer" ist nicht mehr sachlich und liefert damit nur Munition um den Post zu löschen.

      • Günter Born sagt:

        Schwierige Kiste mit deiner Argumentation – speziell wenn man den Gesangkontext betrachtet. Die Aussage, dass ein simpler SQL-Injection-Fehler einem 15 jährigen Programmierer, nicht aber einer professionellen Firma passieren darf, ist imho der Versuch einer Einordnung.. Keine Grund zum Löschen. Aber am Ende des Tages muss jeder Nutzer entscheiden, wie er das bewertet

        • Anonymous sagt:

          Richtig, aber ob man das so in dieser Form, es bleibt polemisch auch wenn es so gesehen werden kann, im Hersteller-Forum so geschrieben werden sollte bleibt jedem überlassen. Aber somit liefert man halt auch (aus Sicht des Herstellers) "gerechtfertigte" Ausreden den Post zu löschen.

          • 1ST1 sagt:

            Den Artikel, das Verhalten von 3CX, den Einblick in den "Maschinenraum", ich lasse mir das gerade so richtig auf der Zunge zergehen! Dieser Beitrag ist moderiert.

      • Darkfader sagt:

        Der sachliche Begriff ist "grob fahrlässig", der gewählte Begriff ist eine freundlichere Fassung.
        Dass es sich um Fahrlässigkeit handelt, ist sowohl im Hinblick auf die Lücken im Entwicklungsprozess (kein ausreichendes Auditing, kein Refactoring) als auch darauf, dass das ja ein Fehler aus den OWASP Top Xx Listen ist, ohne weiteres argumentierbar.

  3. Ralph D. Kärner sagt:

    Ich kenne das aus anderen, oft privat betriebenen Foren, dass deren Beteiber gern einmal vor sich hin löschen oder anders eingreifen und das mit Hausrecht begründen. Dabei geht es auch in den mir bekannten Fällen nicht darum, Spam oder irgendwelche Verstöße gegen bestehende Verordnungen und Gesetze durchzusetzen, sondern es geht schlicht um die Unterdrückung ungeliebter Meinungen, die meist aus sachlich vorgetragener und begründeter Kritik bestehen.

    Es ist bitter, wenn ein Unternehmen genauso verfährt und seine Zeit mit der "Moderation" von Beiträgen verbringt, anstatt dafür zu sorgen, dass ein weltweit eingesetztes und nicht gerade preisgünstiges Produkt endlich sicher wird.

    An dieser Stelle dann mein Dank an meinen Kumpel, Kollegen und Chef, der sich bei der Wahl der neuen Telekommunikatrionsanlage gegen 3CX entschieden hat. War ganz offensichtlich eine gute Entscheidung.

    Ich wünsche Galea und seinem Team, dass die Umsatzeinbußen durch Kündigungen eine Größenordnung erreichen, dass die Phrase "lernen durch Schmerz" brutale Wirklichkeit für das Unternehmen 3CX wird.

    Allen anderen wünsche ich einen guten Rutsch.

  4. Peter sagt:

    Danke für diese Einblicke: ein neuer Eintrag für meine persönliche Firmen-Sperrliste…

    Eine Ergänzung: auf der Webseite wird durchaus noch eine kostenlose Subscription beworben, Zitat: "Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos."

  5. Frederik sagt:

    Ich habe es auch im Partnerforum gesehen und selbst die Partner sind da so unterwegs… Muss ich ein Problem immer sofort im Forum breit treten, damit jeder es sieht?

    Zitat:
    Es gibt Prozesse. Einfach Random dem Support schreiben, der seine Arbeit immer auf gültige Lizenz-Schlüssel buchen muss, läuft halt dagegen. Und bei gefühlten 100 Tickets pro Tag/Supporter können Texte halt an den Formalien scheitern. Deswegen gibt es ja das Security Forum.
    Wenn man jemandem einen Brief einwirft, wirft man den ja auch nicht in den Vorgarten, sondern in den Briefkasten.

  6. Sansor sagt:

    Hatte eigentlich immer einen guten Eindruck von der Firma. Und Fehler passieren überall. Aber wie so oft, wenn ein Technikunternehmen von Nicht-Technikern geleitet wird, das Produkte erstellt, die vornehmlich von Technikern verwaltet werden: Da prallen Welten aufeinander.

  7. Maik sagt:

    Einige Aspekte hätte man sicherlich gewählter ausdrücken können. Für den eher rauen Umgangston, der an einigen Stellen im Internet üblich ist, ist das hier allerdings Meckern auf hohem Niveau.

    Ich persönlich kann auch verstehen, dass die Vorwürfe der Kunden in einem unschönen Ton kommen. Typischer Weise wird eine Telefonie-Anlagen-Software in eher kritischen Bereichen eingesetzt. Von so einem Produkte erwartet man auch, dass bei der Entwicklung und Wartung, wozu auch das Beheben von Sicherheitslücken gehört, eine gewisse Professionalität an den Tag gelegt wird. Das ist bei 3CX scheinbar nicht der Fall, entsprechend ist nachzuvollziehen, dass die Kunden nicht unbedingt erfreut sind.

    Außerdem sollte man als Unternehmen, das in der digitalen Welt zuhause ist, wissen, wie das Internet tickt. Auch auf unsachliche Kritik sollte man reagieren, ohne sich selbst als kindisch – das Löschen unerwünschter Kritik sehe ich als kindisch an – zu präsentieren. Andernfalls riskiert man im Internet völlig unnötig, dass aus einem kritischen Beitrag im schlimmsten Fall ein regelrechter Shi*tstorm wird.
    Ich denke zwar nicht, dass es in jedem Unternehmen deshalb gleich eine eigenes Social Media Team braucht, aber zumindest jemanden, der ruhig und sachlich auf Kritik eingehen kann, auch dann, wenn sie verletzend sein mag.

    Persönlich würde ich es als sehr schwach sehen, dass berechtigte Kritik – und das ist sie im Kern ja auch – wegen einer solcher Kleinigkeiten gelöscht wird.

    So viel zum Umgang.

    Zum Thema SQL Injections:
    Dass SQL Injections augenscheinlich möglich sind, könnte auf einen Entwicklungsstand hinweisen. Moderne Frameworks und Bibliotheken fangen solche Gefahren gewöhnlich standardmäßig "by design" ab. Man muss daher davon ausgehen, dass entweder kein solches Framework zum Einsatz kommt oder bewusst um solche Sicherheitsmechanismen herum gearbeitet wurde. Letzteres kann an Performance-Optimierungen liegen, die sich in solchen Frameworks schwieriger umsetzen lassen oder in der Unwissenheit der Entwickler.
    Was auch immer in diesem konkreten Fall der Grund ist, hinterlässt das einen schlechten Eindruck und man muss sich berechtigter Weise die Frage stellen, wie es um den Rest der Software gestellt ist.

  8. BJ sagt:

    Der aufgeführte Umgang mit Kritik ist wirklich nichts neues bei 3CX (der CEO war früher selbst auf reddit aktiv z.B. und hat dort Kunden mit kritischen Bemerkungen aufgespührt und die bezahlten 3CX Lizenzen und Accounts deaktiviert). Wir sind selbst 3CX Kunde und nutzen die SQL Integration zum Glück nicht, ebenso hatten wir Glück, dass damals die ESET Heuristik die Supply Chain Lücke erkannt und rigoros geblockt hatte. Das man sich nach der Supply Chain Attacke nicht vom Produkt abgewandt hatte wurde zumindest mit 6 Monate kostenloser Verlängerung der Lizenz belohnt. Um das Verhalten des CEO's allerdings mal kurz aufzuzeigen, share ich mal ein paar reddit Links für Interessierte:

    https://web.archive.org/web/20230330090428/https://www.reddit.com/r/3CX/comments/126h7vy/3cx_ceo_tells_partner_to_fck_off/

    • Günter Born sagt:

      Auf Facebook habe ich einen sehr bedenkenswerten Kommentar bekommen – ich kenne die Person dort seit vielen Jahren und sie hat mich oft mit Insights und Tipps versorgt. Die erste Aussage lautete:

      Man muss 3CX lassen, dass sie ein geniales Produkt haben.

      Dann folgte ein:

      Dann hört es aber schon auf

      Die Person schrieb, dass sie alle Zertifizierungsschritte bei den durchlaufen habe und "das Ding" auch verkaufe. Dann folgte diese Aussage:

      Aber in den letzten knapp 10 Jahren hat sich die Firma zu einer Art Drückerkolonne entwickelt. Eine Firma auf Zypern, dann immer wechselnde Angebote, Free ja, Free nein, Free irgendwie bis 2024.

      Er hält den 3CX-CEO als "so wie so scheinbar sehr aggressiv". Er erinnerte sich an eine Anfrage im Forum von einem Mitglied ob ein gewisses Modell eines Telefons unterstützt werde, was sehr schroff abgewiesen wurde.

      Wie meinte er: "Ehrlich gesagt, bin ich von 3CX schon sehr enttäuscht und habe doch keine Alternativen." Und nein, wir sprechen nicht von Microsoft, sondern von 3CX.

      • J.V. sagt:

        Ja, das Produkt ist wirklich gut. Die Abrechnungsmodelle (pro Nebenstelle) und Preise anderer Hersteller von Telefonanlagen haben mich vorher jahrelang geärgert.

        In diesem Markt hat 3CX mit dem günstigen Abrechnungsmodellen wirklich aus meiner Sicht für einen gewissen Umbruch gesorgt. Das ist super und es war auch nötig.

        Leider entwickelt sich das Unternehmen wohl in den letzten Jahren wirklich in eine komische Richtung. Beim Lesen der oben geposteten Reddit-Links zum Thema 3CX bin ich noch auf folgende Seite gestoßen: https://www.fuck3cx.com. 3CX hat versucht die Seite über einen WIPO takedown offline nehmen zu lassen, was aber nicht gelungen ist.

        Die Seite offenbart: Es scheint wirklich so zu sein, dass 3CX auch seine Partner gnadenlos kündigt, wenn sie es wagen, auch nur im entferntesten kritische Fragen im Forum zu stellen.

        Die Tatsache, dass 3CX seinen Firmenhauptsitz in Nordzypern hat, passt da irgendwie gut ins Bild: Nordzypern gilt als Drehscheibe für Geldwäsche, Terrorfinanzierung und illegales Glücksspiel. Das Land ist von der EU nicht anerkannt, normale internationale Bankgeschäfte sind dort kaum möglich.

        Bleibt aber die Frage: Gibt es gute Alternativen zu 3CX?

        Ich habe vor Jahren mal eine Askozia-Telefonanlage verwendet, die war super. Das war eine kleine Firma aus Deutschland, die die Telefonanlage entwickelt hat. Leider wurden die Firma dann von 3CX gekauft, siehe https://askozia.com.

  9. Marcus sagt:

    Ich kann diesem Clickbait hier kein Gehör schenken! Innerhalb von noch nicht einmal 24 Stunden hat 3CX einen Patch veröffentlicht, der das Problem behoben hat. Schneller geht's kaum! Der Dreck, der hier geschrieben wird ist einfach nur widerlich. suchen Sie sich mal einen anständigen Job!

    • Günter Born sagt:

      Wenn es noch eines Beweises für die Aussagen im Text bedurft hätte, mit dem Kommentar von "Marcus" hier im Blog liegt sie vor – klassischer Fall von "getroffener Hund bellt", schätze ich mal.

      Der Kommentar fällt wunderbar in das "Schema", was ich oben zur "Moderation und zum Löschen von Kommentaren" hier im Blog geschrieben habe. Ich habe den Kommentar einige Stunden "zum Löschen" vorgesehen, bis mir einfiel, recherchiere doch mal – und kam dann auf den Gedanken, dass der Kommentar doch eine wunderbare Steilvorlage für den Artikel sein könne. Here we go ….

      Ich sage es mal so: Eine gmx-Mail-Adresse kann sich jeder besorgen – bei der IP-Adresse müsste man "vorher denken". Die IP-Adresse des Kommentators wurde von einer Telekommunikationsfirma auf Zypern vergeben – es werden nach meinen Recherchen eine Reihe Domains unter dieser IP gehostet. Bei Zypern klingelte bei mir was.

      Impressum der 3CX:

      Die 3CX GmbH gehört zur 3CX Ltd.
      4, Markou Drakou
      2409 Engomi
      Nicosia

      Wie heißt es auf der 3CX-Webseite so schön "2019 wurden wir von Invest Cyprus für unsere kontinuierlichen Investitionen in die zypriotische Wirtschaft und die Unterstützung lokaler Organisationen ausgezeichnet." Wundersamer Zufall? Läuft ….

      Zum "Clickbait" und "suchen Sie sich mal einen anständigen Job!" – ist der Text (abseits vom sprachlichen Duktus) weder zu Ende gedacht noch bar jeglicher Kenntnis bzgl. Bedeutung von "Clickbait" im Kontext des konkreten Artikels und meiner persönlichen Verhältnisse. Nun ja, immerhin bin ich dieses Mal nicht vor Lachen vom Bürostuhl gekippt.

      Zum Inhaltlichen "Innerhalb von noch nicht einmal 24 Stunden hat 3CX einen Patch veröffentlicht, der das Problem behoben hat. Schneller geht's kaum!": Ich formuliere es mal nett "knapp vorbei ist auch daneben!"

      – in obigem Artikel ging es um das Thema, dass Kritik im 3CX-Forum gelöscht wurde – es wird also eine Antwort auf eine nicht gestellte Fragestellung gegeben.
      – auch sachlich ist die Behauptung in meinen Augen schlicht falsch, wie sich im verlinkten Artikel zur 3CX SQL-Injection-Problematik leicht an den Daten (ab 11. Okt. 2023 versuchten die Entdecker eine Kommunikation mit 3CX erfolglos aufzunehmen, gepatcht wurde, nachdem die Disclosure-Frist abgelaufen und die Schwachstelle öffentlich war) nachvollziehen lässt.

      Von schneller geht es wohl kaum kann da keine Rede sein – imho.

      Nun ja, ich überlasse es der Leserschaft eigene Schlüsse zu ziehen. Sowohl obiger Kommentar von "Marcus" als auch die Artikel über 3CX, auf die sich der Kommentar bezieht, sind ja frei abrufbar.

      • Bertram sagt:

        Wer inkompetent genug ist, SQL-Injection zu verhindern, benutzt auch keinen VPN-Dienst beim Verfassen von Schleichwerbung im eigenen Firmeninteresse ;)

    • Darkfader sagt:

      24 Stunden nach *was genau*?

  10. Thorsten M. sagt:

    Vielen Dank für den Artikel und die vielen Infos in den Kommentaren!
    Wir planen, in 1 bis 2 Jahren von unserer alten Telefonanlage auf ein moderneres System umzusteigen.
    Somit haben wir jetzt schon ein paar wichtige Kriterien für die Auswahl gefunden:
    – Wie ist das Supportforum aufgebaut und wie geht die Firma mit Kritik um? Ist überhaupt Kritik im Forum zu finden?
    – Wie geht die Firma mit Sicherheitsvorfällen und -lücken um? Wird im Anschluss eine aufrichtige, ehrliche und plausible Analyse veröffentlicht, wie es dazu kommen konnte und wie sowas zukünftig verhindert werden soll?

    Klar, solche Kriterien sollten eigentlich immer positiv beantwortet werden können. Deshalb habe ich bisher nie diese Kritereien in Betracht gezogen. Aber der Artikel zeigt: es gibt schwarze Schafe.

  11. Darkfader sagt:

    irgendwie finde ich den than vs then Schreibfehler aus der Mail des CEO höchst passend.

  12. Anonymous sagt:

    3CX ist mittlerweile dafür bekannt, aggressiv gegen Kritiker und Partner vorzugehen, die nicht ins Bild passen.
    Ist mir als Sysadmin aber erstmal schnurz, solange die Software gut funktioniert.
    Solche Sicherheitslücken sind allerdings sehr ärgerlich.
    Imho ist das aber nicht zu vermeiden, auch bei Verwendung von EXi oder auch einfach Windows und generell Cloud Diensten kommt es immer wieder vor, dass dringend Systeme spontan gepatcht werden müssen und da muss einfach in kurzer Zeit ein Patch da sein und das kriegt 3CX anscheinend ja hin.
    Das schafft ja nichtmal Microsoft.
    Ehrlich gesagt habe ich mir u.A. Software von Siemens und der Telekom angeguckt, das Zeug ist im Hintergrund marode ohne Ende, teils noch in die Jahre gekommene Module oder Benutzeroberflächen.
    Hatte vor dem Wechsel noch nie so eine Software mit der sich so gut administrativ arbeiten lässt, vor allem nicht für den Preis und die User haben auch nichts zu meckern.
    Wenn sich das langfristig verschlechtert wäre es vielleicht für den ein oder anderen möglich zu Teams Phone zu wechseln, aber wegen solchen Sachen würde ich niemals gleich zu einer anderen PBX migrieren.

  13. n8c sagt:

    Der liebe Herr Galea hat mich auch höchstpersönlich gebannt, als ich mich im Forum beschwerte, weil uns als ZAHLENDER KUNDE niemand vom Support geantwortet hat.

    Es ging darum, dass in bestimmter Konstellation die Call History keinen SQL Insert ausführte, was im Systemlog (also Service Log des 3CX Dienstes selbst) bewiesen wurde.

    Die Konstellation war "entweder Call History Eintrag ODER ein Besetzt-Zeichen, nicht beides" in Kombination mit "Voicemail für User deaktiviert". Etwas, was eine absolute Basiskonfiguration ist, die jeder frei für einen Verein klickende Admin mal hätte vornehmen können. Allein, dass ich da der erste war, der das konfiguriert/entdeckt, hat mich IMMENS wütend gemacht.

    Er hat dann auch so in etwa reagiert, "LÜGE unser Support antwortet IMMER" und dann damit weitergemacht den Account dichtzumachen.

    Wir reden hier von mehreren Monaten ganz normaler Kontaktversuche mit dem Laden.
    Ich kann nur allen abraten, dort irgendwas in Anspruch zu nehmen.

    Vodafone RingCentral ist gut und günstig, WENN euch die Tarife passen (Features), die waren noch am rummachen (bin bald 1Y weg beim alten Laden, daher nicht mehr up to date), dass man auch einzelne Accs hochstufen kann und nicht nur "alle User zahlen jetzt die teurere Lic".

    Zurück zu 3CX: Absolut ranzige Führung, was natürlich die üblichen Probleme nach sich zieht und untendrunter zu 98% nur schlechtes Personal da bleiben lässt.

  14. John sagt:

    Meine Meinung dazu habe ich auch mal bei Trustpilot eingestellt. Keinerlei Verständnis. Falls Ihr Langeweile habt, schreibt dort doch auch etwas dazu. ;)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.