В Германии местного IT-специалиста оштрафовали на 3000 евро за выявление и публикацию информации об уязвимости, найденной в базе данных онлайн-магазина. Это привело к раскрытию личной информации около 700 000 клиентов.
Журналисты уточняют, что в июне 2021 года ИТ-специалист Хендрик Х. работал над устранением ошибок в программном обеспечении одного из своих клиентов — компании Modern Solution GmbH. В процессе работы он обнаружил, что в представленном коде используется подключение MySQL к серверу базы данных MariaDB. При этом пароль для доступа к серверу сохранялся в открытом виде в исполняемом файле msconnect.exe. Такой подход позволял любому пользователю с помощью обычного текстового редактора просмотреть незашифрованные логин и пароль для доступа к базе данных.
После ввода соответствующего пароля любой пользователь получал доступ к конфиденциальным данным около 700 000 клиентов различных онлайн-магазинов. Эти пользователи совершали покупки на небольших сайтах, которые использовали программное обеспечение Modern Solution для работы на крупных интернет-платформах, таких как Otto, Kaufland или Check24. При этом программные файлы Modern Solution были полностью доступны в интернете, что позволяло любому пользователю найти пароли и учётные данные к базам данных в исходном коде.
Осенью 2021 года немецкая полиция конфисковала компьютеры у IT-специалиста после того, как соответствующая жалоба поступила от компании Modern Solution. Руководство организации обвиняло специалиста в том, что он ранее работал в компании JTL, которая выпускала системы, взаимодействующие с программным обеспечением Modern Solution. При этом все трудовые отношения с компанией JTL были прекращены из-за ряда конфликтов. Руководство компании Modern Solution заявило во время общения с правоохранительными органами, что IT-специалист Хендрик Х. получил доступ к учётным данным, используя знания, которые он приобрёл, работая в JTL.
В результате мужчине было предъявлено обвинение в неправомерном доступе к конфиденциальным данным по статье 202а Уголовного кодекса Германии. Эта статья регламентирует, что изучение информации, которая защищена паролем, классифицируется как преступление.
Однако летом 2023 года Окружной суд поддержал IT-специалиста, посчитав, что программное обеспечение компании Modern Solution не обладало достаточной защитой. Тем не менее, апелляционный суд отправил дело Хендрика Х. на новое рассмотрение. И 17 января 2023 года Окружной суд всё-таки оштрафовал мужчину на 3000 евро, вдобавок обязав его выплатить все судебные издержки. В процессе общения с журналистами программист подчеркнул, что основной целью его работы была защита клиентов.
Марк Штайнер, специалист по онлайн-коммерции, который опубликовал информацию об этой уязвимости, заявил, что это судебное решение является шокирующим. Он подчеркнул, что пароль, сохранённый практически в открытом виде, не может считаться «особым обеспечением безопасности». Кроме того, Марк Штайнер выразил своё удивление по поводу того, что в суде не был представлен эксперт, который мог бы подробно разъяснить технические аспекты дела.
Ещё по теме: