В Германии вынесли приговор по делу, берущему начало в 2021 году. Немецкий программист в рамках работы над устранением неполадок в ПО компании Modern Solution обнаружил уязвимость, позволяющую получить доступ к данным 700 тысяч клиентов компании. Он связался с Modern Solution, после чего компания закрыла уязвимость и подала в суд на программиста, обвинив его в незаконном доступе к данным.
Согласно представленным материалам, на момент происшествия программист был внештатным ИТ‑консультантам и работал с ПО Modern Solution по заказу самой компании. В ходе работы выяснилось, что клиентский софт устанавливает MySQL‑соединение с головным сервером, используя пароль, записанный в исполняемом файле MSConnect.exe в формате plaintext. Программист полагал, что при тестовом подключении к базе данных он обнаружит только данные непосредственно своего заказчика, однако получил доступ к данным всех 700 тысяч его клиентов. По его словам, поняв это, он сразу отключил соединение с базой данных и сообщил о проблеме Modern Solution.
После того, как уязвимость была устранена, информация о ней с описанием сути проблемы появилась в сети. Modern Solution также выпустила уведомление об утечке. Поскольку программные файлы компании находились в свободном доступе, практически любой мог получить данные к базе данных и, возможно, даже получал, но не сообщал о проблеме в компанию.
Modern Solution устранила уязвимость и заявила на программиста в полицию, обвинив его в декомпиляции исполняемого файла, незаконном получении пароля и доступа к клиентским данным. Кроме того, топ‑менеджеры организации заявили, что сам обвиняемый работал ранее в компании JTL, бывшим партнёром Modern Solution, с которым у компании испортились отношения, и что доступ к паролю он получил благодаря инсайдерским знаниям, полученным в JTL. Таким образом Modern Solution объясняла наличие злого умысла.
В ходе долгого разбирательства в 2023 году программиста сначала оправдали, учтя представленные доказательства низкого уровня защиты ПО компании Modern Solution и что пароль находился почти в «открытом доступе», но вскоре дело направилось в апелляционный суд. 17 января этого года суд признал программиста виновным по статье § 202a Уголовного кодекса страны и оштрафовал на €3000 (изначально прокуратура просила €5400). Прокуратура посчитала доказанным факт того, что обвиняемый пытался нанести ущерб компании. Кроме того, сам факт наличия пароля, даже плохо защищённого, уже свидетельствует о наличии защиты и попадает под соответствующую статью согласно обвинению. Факт того, что доступ был получен в рамках функциональной проверки по запросу пострадавшей стороны, не послужил оправданием.
Источник: habr.com