作为一名 IT 自由从业者,本是受客户委托去检查软件安全问题,却最终被定性为黑客,还成为了被告,甚至遭到了处罚,这究竟是怎么一回事?
1 月 17 日,德国于利希地方法院宣布了一项最新判决结果:
“一位独立程序员帮助一家零售公司检查软件问题时,发现此软件存在一个导致近 70 万买家数据会暴露的重大漏洞。
为此,该名程序员联系了开发这款软件的公司,却遭软件开发商矢口否认,随后他与一名科技博主将这一漏洞公之于众,受到了广泛的关注。令人没想到的是,后来软件开发商将相关软件进行了下线处理后,也向警方举报了该名程序员,并称之为‘黑客’。
由于这种情况,这名程序员现因未经授权访问第三方计算机系统和刺探数据(根据《德国刑法典》(StGB)中所谓的黑客条款 202a 应受到惩罚)而被处以 3,000 欧元(约 2.3 万元)的罚款,同时还必须支付诉讼费用。”
身份的快速转换,这样的处罚,不仅让当事人一脸懵,也让不少开发者感到不解。
1、前情:一则 70 万条数据泄露事件引出的真相
最初这一事件发生在 2021 年 6 月,彼时有不少外媒报道称,德国一家名为 Modern Solution 公司发生严重的数据泄露事件,其软件存在的安全漏洞导致 70 万终端用户受到了影响。
根据资料显示,德国 Kaufland 超市、电子商务公司 Otto、互联网金融企业 Check24 和比价网站 Idealo 等公司为小型零售商提供了一个在线平台,方便小型零售商可以在这些网站上提供商品并进行售卖。
作为一家接口服务商,Modern Solution 帮助不想或不能直接连接到平台本身的零售商,并在此过程中将平台的界面与想要通过在线市场销售商品的零售商各自的商品管理系统连接起来。
简单来看,Modern Solution 帮助这些小的零售商将其商品管理系统连接到 Otto、Kaufland 和 Check24 等大公司的在线市场上,同时也保护平台上这些客户的数据。
然而彼时外媒披露的这一漏洞,能够查看自 2018 年夏季以来该平台上的所有交易信息,即谁从哪个零售商、何时购买了什么商品,包括姓名、地址,乃至银行卡等。
泄露事件爆出后,也引起了当地市场的广泛关注,在查证之后,几个大型公司接连出面安抚用户,其中互联网金融企业 Check24 表示,作为安全措施的一部分,他们只使用电子邮件别名,因此不会传递银行详细信息或实际电子邮件地址等个人信息。因此,该公司的客户不会受到数据泄露的影响。
紧接着,追责问题,众人也发现数据泄露是发生在服务提供商 Modern Solution 身上,而探其背后,揭晓这一漏洞的是一名程序员。
2、从拿钱查 Bug 的第三方程序员,到变成了非法访问后台的黑客
2021 年 6 月,一家零售商发现他使用的软件产生过多日志消息,填充了整个数据库,于是便花钱聘请这名程序员来帮他们解决问题,也让他有权查看安装在服务器上的软件。
起初这名程序员在排查问题时以为,这家零售商服务器上的软件连接的是 Modern Solution 公司的一个数据库,而这个数据库只为这一家零售商服务,只包含客户一家的数据。
然而不久之后,该程序员发现了不对劲,因为这一数据库包含的信息要多得多,而他随即也发现 Modern Solution 公司提供的软件通过互联网与其公司在 Gladbeck 城市的服务器建立了 MySQL 连接。
后来他惊觉,数据库中包含了 Modern Solution 公司所有其他客户的数据以及其网上商店所有最终客户的数据。
不过,据后来这名程序员的代理律师称,“当他发现自己可以访问其他客户的数据时,他立即断开了数据库连接。”
而回归当时,在发现问题之后,这位程序员第一时间找到了自己熟知的电子商务界知名博主 Mark Steier 简单地透露了自己的发现。Mark Steier 也建议这名程序员首先向 Modern Solution 公司报告他的发现。
第二天早上,这名程序员向 Modern Solution 报告了该漏洞,并提醒对方应该在三天内修复这个漏洞。
不过,后来程序员向媒体透露,他被粗暴地拒绝了,Modern Solution 公司否认存在漏洞。另一边,他发现 Modern Solution 将存在漏洞的系统下线处理。
既然漏洞已经修复,程序员和这位博主决定迅速向公众通报。博主 Steier 在发稿前,再次要求 Modern Solution 公司发表声明,但遭到拒绝。
所以,在 2021 年 6 月 23 日,Mark Steier 发表了关于一篇主题为《警告:JTL 合作伙伴 Modern Solution GmbH & Co. KG 数据泄露》(https://wortfilter.de/warnung-datenleck-beim-jtl-partner-modern-solution-gmbh-co-kg/)的文章,详解了漏洞的详情。
3、尴尬的披露时间
由于在这篇文章中,提到了超过 700,000 名终端客户受到影响,毫无疑问,此案吸引了公众的关注。
此外,有些尴尬的是,这名程序员和博主 Steier 在向制造商和相关数据保护机构报告数据泄漏和漏洞的当天就向公众公布了消息,也引发了不小的争论。
在很多人看来,有经验的安全研究人员通常会给公司更多的时间来对此事发表评论。
然而,如果 Modern Solution 公司真的粗暴地向这位程序员否认了漏洞,那么也可以理解为他们并不希望得到建设性的合作。
虽然披露的时间过于仓促,但是在不少外媒看来,技术上讲,这名程序员和科技博主已经遵守了负责任地披露信息的基本规则:在他们向公众通报时,漏洞显然已经修复。
不过,Modern Solution 公司并不这么认为,他们也在当天被动地发布了一份有关《数据泄露报告》的声明,分享了他们正在调查这一事件,同时将该程序员描述为“道德黑客”。
https://wortfilter.de/wp-content/uploads/2021/06/moso-1.pdf
4、遭到反击
随后 Modern Solution 以程序员刺探数据、窃取数据和违反联邦数据保护法等罪名向警局报了案。
2021 年 9 月 15 日,德国亚琛警方第 22 刑事调查局的一个搜查小组来到这名程序员的家里。据该程序员称,警察假装是包裹快递员,进入了他的公寓,并将他按在墙上,还没收了一台个人电脑、五台笔记本电脑、一部手机和五个外部存储设备,这是该程序员的全部工作设备。
根据调查文件,Modern Solutions 告诉警方,程序员只有在掌握内幕知识的情况下才能访问公司的系统。而且他们发现该程序员曾在位于 Hückelhoven 的 JTL 公司工作过。JTL 公司生产商品管理系统,Modern Solution 公司的软件与零售商方面的管理系统相连接。当时,程序员与 JTL 公司的雇佣关系因冲突而终止。
根据 Modern Solution 公司自己提供的信息,该公司专门从事安装和托管 JTL 公司所谓的 WaWi 系统。Modern Solution 公司的代表告诉警方,这名程序员利用他在 JTL 公司获得的内幕消息获取了密码,并通过该密码访问了 Modern Solution 公司的数据。
此外,Modern Solution 公司还称,软件的编译提供了有效的保护,可以防止诸如读取密码字符串之类的攻击。同时,Modern Solution 认为,该程序员想以公司竞争对手的身份出现,因此试图伤害公司。
如果按照这种解释,倘若这名程序员通过反编译等操作方式获取密码,访问了数据库,那么可能会导致刑事责任。
然而,不少 IT 专家们怀疑编译源代码是否能有效保护密码。在研究过程中,外媒 heise online 使用普通工具从 Modern Solution 的软件中读取了类似密码的字符串,该软件可在互联网上免费下载。
对此,这名程序员表示自己受一家零售商的邀请,本来只是来帮助解决问题的,偶然间发现 Modern Solution 软件的数据交换是通过 SQL 连接进行的,可以用纯文本查看,而且访问数据被牢牢固定在软件中。这意味着,任何人只要获得一份原则上免费提供的软件拷贝,就可以访问通过 Modern Solution 系统进行购买的所有客户的数据。
5、为期三年的调查,现在有了结论
各有各的说法。在被指控期间,检察官花了大量时间试图证明被告程序员为了获取数据库连接密码而反编译了 Modern Solution 软件的程序代码。
正如上文所述,该程序员在诉讼书中指出,他只是用文本编辑器查看了有关文件(MSConnect.exe),从而读出了纯文本的数据库密码。他是在他先前观察到的 MySQL 连接的其他已知连接数据的地方发现这一点的。
几经调查,法官也无法证明被告是通过反编译获得密码的。在审判结束时,实则这一点对判决也没有什么影响。因为主审法官指出,仅凭 Modern Solution 软件设置了连接密码这一事实,就意味着该程序员查看程序的原始数据以及随后与 Modern Solution 的数据库连接,就构成了黑客刑事犯罪。
最终,这名程序员现因未经授权访问第三方计算机系统和刺探数据(根据《德国刑法典》(StGB)中所谓的黑客条款 202a 应受到惩罚)而被处以 3,000 欧元(约 2.3 万元)的罚款,同时还必须支付诉讼费用。
6、不少开发者为这名程序员叫冤
当然,判决尚未最终确定。双方都有一周的时间对刑事判决提出上诉。在这种情况下,诉讼程序将由地区法院重新审理。
然而,对于这样的初步判罚,不少开发者也觉得这名程序员实属冤枉:
这名程序员的犯罪似乎是”使用“暴露的数据库凭据登录第三方数据库服务器。而不是他向外界暴露了凭据,实际上只是利用他们进行了探索。
如果不进入系统四处查看,基本上不可能知道系统是什么。这就好比在一栋大楼里拿到一张安全检查的钥匙卡。你会认为它打开的任何一扇门都是你可以进入的房间。如果保安发现你进入了一个你不该进入的房间,那是你的错吗?还是谁给了你一张权限级别错误的卡?还有,如果你打开一扇门,朝里面看了一眼,马上意识到你不该在那里,然后向保安报告,这种情况又如何?你应该受到惩罚吗?
这更像是你拿到了一张写着“20 楼”的大楼的钥匙卡,但随后发现它可以进入所有楼层,并告诉大楼保安。他们所做的只是“打开”这里的“电梯门”,暴露了他们错误进入的通道。听起来他们并没有窥探其他客户的数据或下载任何东西。
这就像给某人一本你写的书来校对,而你的密码无意中出现在文本中。他们用它来登录,然后告诉你。当然,他们不应该登录,但感觉不应该受到刑事指控。
看来这些法律需要重写。意图很重要,而且这个”黑客“似乎并没有试图造成任何伤害。公司被抓了小辫子,他们想惩罚这个揭露此事的人。
参考:
https://www.heise.de/news/Datenleck-bei-Modern-Solution-Sicherheitsluecke-betrifft-rund-700-000-Kaeufer-6127690.html
https://www.heise.de/news/Warum-ein-Sicherheitsforscher-im-Fall-Modern-Solution-verurteilt-wurde-9601392.html
---END---
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...