Ένα γερμανικό δικαστήριο κατηγόρησε έναν προγραμμα
τι
στή
που
ερευνούσε ένα πρόβλημα πληροφορικής για εισβολή και του επέβαλε πρόστιμο 3.000 ευρώ (3.265 $) για αυτό που έκρινε ότι ήταν μη εξουσιοδοτημένη πρόσβαση σε εξωτερικά συστήματα υπολογιστών και κατασκοπεία δεδομένων.
Σύμφωνα με την αρχική αναφορά της Heise, ο προγραμματιστής, που λειτουργούσε ως ανεξάρτητος πάροχος υπηρεσιών πληροφορικής, είχε αρχικά επιφορτιστεί από έναν πελάτη να επιλύσει προβλήματα υπερβολικής δημιουργίας αρχείων καταγραφής με το
λογισμικό
διαχείρισης
εμπ
ορευμάτων που χρησιμοποιούσε.
Ο προγραμματιστής εξέτασε το λογισμικό και διαπίστωσε ότι δημιούργησε μια σύνδεση MySQL με έναν απομακρυσμένο διακομιστή που ανήκει στη Modern Solution GmbH, τον προμηθευτή λογισμικού διαχείρισης.
Μετά τη σύνδεση με τη βάση δεδομένων, διαπιστώθηκε ότι δεν περιείχε μόνο τα δεδομένα του πελάτη του αλλά και τα δεδομένα για σχεδόν 700.000 άλλους πελάτες της Modern Solution, αποτελώντας ένα σημαντικό ζήτημα απορρήτου δεδομένων.
Όταν συνειδητοποίησε ότι η βάση δεδομένων περιείχε δεδομένα για άλλες εταιρείες, ο προγραμματιστής αποσυνδέθηκε από την απομακρυσμένη βάση δεδομένων και συνεργάστηκε με έναν τεχνολογικό blogger για να ενημερώσει τον προμηθευτή λογισμικού για το ζήτημα της κυβερνοασφάλειας και του απορρήτου.
Η Modern Solution GmbH έβγαλε τον διακομιστή εκτός σύνδεσης για να διορθώσει το πρόβλημα, αρνούμενος ότι υπήρχε κενό ασφαλείας στα συστήματά τους. Ο προγραμματιστής και blogger
τεχνολογία
ς αποκάλυψε γρήγορα το θέμα την ίδια μέρα χωρίς να περιμένει σχόλιο από τον προμηθευτή λογισμικού διαχείρισης.
Αμέσως μετά, η εταιρεία κατήγγειλε τον προγραμματιστή στην αστυνομία για μη εξουσιοδοτημένη πρόσβαση στα εκτεθειμένα δεδομένα και στον διακομιστή της βάσης δεδομένων τους.
Ο κωδικός πρόσβασης αποθηκεύεται σε απλό κείμενο
Ο προγραμματιστής είπε στο τεχνολογικό blog Word Filters ότι το λογισμικό διαχείρισης βρέθηκε να συνδέεται με έναν διακομιστή MySQL μέσω Διαδικτύου.
Για να προσδιορίσει τη σύνδεση με τη βάση δεδομένων, ο προγραμματιστής εξήγαγε τον κωδικό πρόσβασης απλού κειμένου για τη σύνδεση βάσης δεδομένων MySQL από ένα από τα εκτελέσιμα αρχεία του λογισμικού διαχείρισης.
Η κατηγορούσα αρχή υποστήριξε ότι ο κατηγορούμενος έφτασε μέχρι την αποσυμπίληση του λογισμικού. Ωστόσο,
Επιβεβαίωσε ο Heise
ότι ο προγραμματιστής απλώς απαριθμούσε τις συμβολοσειρές στο εκτελέσιμο αρχείο MSConnect.exe για να βρει τον κωδικό πρόσβασης απλού κειμένου.
Ωστόσο, το δικαστήριο αποφάσισε ότι η μη εξουσιοδοτημένη πρόσβαση σε δεδομένα που προστατεύονται με κωδικό πρόσβασης παραβιάζει
Άρθρο 202γ του Γερμανικού Ποινικού Κώδικα
γνωστό και ως Παράγραφος Χάκερ.
Ο δικαστής ανέφερε μια νομοθετική τροποποίηση του 2007 σχετικά με την πειρατεία, τονίζοντας ότι η προστασία δεν χρειάζεται να είναι ισχυρή για να δικαιολογεί προσβολή.
Ωστόσο, ο δικαστής επέδειξε κάποια επιείκεια προς τον σύμβουλο, λαμβάνοντας υπόψη το προηγούμενο καθαρό ιστορικό του, και επέβαλε χαμηλότερο πρόστιμο από αυτό που ζήτησε η εισαγγελία.
Ο δικηγόρος του κατηγορουμένου υποστήριξε ότι ο πελάτης του ενήργησε προς το συμφέρον του ευρύτερου κοινού, ενημερώνοντας υπεύθυνα τον προμηθευτή λογισμικού για το σφάλμα ασφάλειας και επέκρινε τις απόψεις του δικαστηρίου για το θέμα ως ξεπερασμένες.
Ο προγραμματιστής αποφάσισε να ασκήσει έφεση κατά της απόφασης και η υπόθεση θα ανατεθεί σε ανώτερο περιφερειακό δικαστήριο στο Άαχεν, όπου η απόφαση θα μπορούσε να αναλάβει σημαντικό ρόλο ως νομικό προηγούμενο.
VIA:
bleepingcomputer.com
