Немецкого программиста за выявленную уязвимость оштрафовали на 3000 евро

Хотел как лучше, а получилось как всегда

2 мин.
Немецкого программиста за выявленную уязвимость оштрафовали на 3000 евро
Photo by Clément Hélardot / Unsplash

В Германии местного IT-специалиста оштрафовали на 3000 евро за выявление и публикацию информации об уязвимости, найденной в базе данных онлайн-магазина. Это привело к раскрытию личной информации около 700 000 клиентов.

Журналисты уточняют, что в июне 2021 года ИТ-специалист Хендрик Х. работал над устранением ошибок в программном обеспечении одного из своих клиентов — компании Modern Solution GmbH. В процессе работы он обнаружил, что в представленном коде используется подключение MySQL к серверу базы данных MariaDB. При этом пароль для доступа к серверу сохранялся в открытом виде в исполняемом файле msconnect.exe. Такой подход позволял любому пользователю с помощью обычного текстового редактора просмотреть незашифрованные логин и пароль для доступа к базе данных.

После ввода соответствующего пароля любой пользователь получал доступ к конфиденциальным данным около 700 000 клиентов различных онлайн-магазинов. Эти пользователи совершали покупки на небольших сайтах, которые использовали программное обеспечение Modern Solution для работы на крупных интернет-платформах, таких как Otto, Kaufland или Check24. При этом программные файлы Modern Solution были полностью доступны в интернете, что позволяло любому пользователю найти пароли и учётные данные к базам данных в исходном коде.

Осенью 2021 года немецкая полиция конфисковала компьютеры у IT-специалиста после того, как соответствующая жалоба поступила от компании Modern Solution. Руководство организации обвиняло специалиста в том, что он ранее работал в компании JTL, которая выпускала системы, взаимодействующие с программным обеспечением Modern Solution. При этом все трудовые отношения с компанией JTL были прекращены из-за ряда конфликтов. Руководство компании Modern Solution заявило во время общения с правоохранительными органами, что IT-специалист Хендрик Х. получил доступ к учётным данным, используя знания, которые он приобрёл, работая в JTL.

В результате мужчине было предъявлено обвинение в неправомерном доступе к конфиденциальным данным по статье 202а Уголовного кодекса Германии. Эта статья регламентирует, что изучение информации, которая защищена паролем, классифицируется как преступление.

Однако летом 2023 года Окружной суд поддержал IT-специалиста, посчитав, что программное обеспечение компании Modern Solution не обладало достаточной защитой. Тем не менее, апелляционный суд отправил дело Хендрика Х. на новое рассмотрение. И 17 января 2023 года Окружной суд всё-таки оштрафовал мужчину на 3000 евро, вдобавок обязав его выплатить все судебные издержки. В процессе общения с журналистами программист подчеркнул, что основной целью его работы была защита клиентов.

Марк Штайнер, специалист по онлайн-коммерции, который опубликовал информацию об этой уязвимости, заявил, что это судебное решение является шокирующим. Он подчеркнул, что пароль, сохранённый практически в открытом виде, не может считаться «особым обеспечением безопасности». Кроме того, Марк Штайнер выразил своё удивление по поводу того, что в суде не был представлен эксперт, который мог бы подробно разъяснить технические аспекты дела.


Ещё по теме:

Мы в Telegram, на Дзен, в Google News и YouTube