一些似曾相识的案例?
德国一家法院指控某程序员涉嫌黑客行为,并因为未经授权访问外部计算机系统和刺探数据而对其罚款 3000 欧元。
据 Heise 发布的消息,这名程序员是个自由 IT 服务提供商 (自由职业者),最初他接到客户的任务是解决这家客户使用的商品管理软件生成太多日志的问题。
接到任务后该程序员检查了软件,发现其与管理软件提供商 Modern Solution GmbH 的远程服务器建立了 MySQL 连接,于是这名程序员就连接了远程数据库进行分析,结果发现这个数据库包含 Modern Solution 近 70 万家客户的数据。
在意识到这家软件提供商存在安全问题后,这名程序员断开了与数据库的连接,之后通过其他途径联系 Modern Solution 通报了问题。
为此 Modern Solution 接到通报当天就直接离线所有服务器进行修复,但是,该公司坚决否认自己的系统出现安全问题,而这名耿直的程序员直接发布公开消息称 Modern Solution 存在安全问题。
之后这家软件供应商报警声称这名程序员未经授权访问了暴露的数据及其数据库服务器。
还使用明文存储密码:
从被起诉的程序员的描述来看,Modern Solution 就是个非常弱鸡的软件供应商,为什么这么说呢?因为这家公司将数据库连接密码以明文形式硬编码在某个可执行文件中。
更可怕的是他们几十万家客户的数据都存储在同一个数据库服务器里、使用相同的账号和密码,而这个包含明文密码的可执行文件,则包含在他们提供给客户的管理软件里。
也就是说,只要对软件的文件进行分析那就很容易获得密码并进行连接,从而对他们的数据库进行一锅端。
被法院罚款 3000 欧元:
对于这件事很容易可以看出来 Modern Solution 报警纯粹就是因为这名程序员披露了他们的安全问题,因为他们一直否认有问题,刚开始也没准备报警,直到被公开披露。
而检方则按照德国的传统法律进行了起诉,即德国刑法第 202c 条,也被称为黑客条款,未经授权访问受密码保护的数据属于刑事犯罪。
为此德国地方法院考虑到这名程序员此前没有其他犯罪记录,因此罚款 3000 欧元,这个判决比德国检方要求的处罚低的多。
上诉:
代表律师称他的行为符合公共利益、负责任地向软件供应商通报了安全漏洞,律师称法院对此事的看法已经严重过时。
毕竟他虽然访问了数据但一来是无意中发现的,二来也是为了公共利益才披露漏洞,第三也没有泄露任何数据,所以无论从哪个角度考虑都不应该被判刑 / 罚款。
目前这名程序员已经提起上诉,交由德国的高级地方法院审理。
版权声明:感谢您的阅读,除非文中已注明来源网站名称或链接,否则均为蓝点网原创内容。转载时请务必注明:来源于蓝点网、标注作者及本文完整链接,谢谢理解。