2016/05/30

FBI invade casa de investigador que alertou para dados privados publicamente acessíveis


A vida dos investigadores de segurança - ou simples curiosos - volta a ser tema de discussão, depois de mais um caso em que as autoridades invadiram a casa de um investigador que tinha alertado várias empresas para as graves falhas que estava a cometer, deixando dados privados seus seus clientes expostos publicamente sem qualquer segurança.

Ver a polícia ou o FBI a entrar por uma casa dentro é algo que pode ter piada num filme ou série de TV, mas que ninguém quererá experimentar na vida real. No entanto foi isso mesmo que aconteceu a Justin Shafer, quando viu o seu dia começar da pior forma possível, com mais de uma dezena de agentes a entrarem pela sua casa dentro, de armas em riste, indiferentes ao bebé e duas crianças na residência.

Na origem deste tratamento que o equipara a um perigoso criminoso está a sua curiosidade e o facto de ter descoberto graves falhas de segurança em software de medicina dentária. Num dos casos, descobriu que um programa - Dentrix - que anunciava absoluta protecção dos dados usando encriptação, quando na realidade esses dados eram facilmente obtidos, resultando numa multa de 250 mil dólares à empresa. Mas não terá sido esse caso que lhe valeu a invasão policial... terá sido um caso ainda mais preocupante.

Em Fevereiro, Shafer deparou-se com um servidor FTP público, acessível por qualquer pessoa na internet, que continha registos médicos de pacientes. Nessa altura teve a preocupação de contactar a empresa para alertá-los desse facto, e só quando a empresa tratou do assunto e removeu os dados em questão (de 22 mil pacientes) é que revelou o caso publicamente. Mas, a empresa não terá gostado de ter sido apanhada com o rabo de fora, e avançou com uma queixa de "hacking" contra ele, dizendo que acedeu a dados que não deveria ter acedido!

Ou seja... uma empresa que tem dados publicamente disponíveis na internet, que deixaram mais de 20 mil pacientes expostos durante anos, decide que a melhor forma de resolver o problema é perseguir a pessoa que descobriu o erro e lhes chamou a atenção para isso.


... Tenham cuidado da próxima vez que se sentirem com a tentação de fazer uma boa acção e alertarem uma empresa para uma vulnerabilidade de segurança. É que em vez de uma recompensa arriscam-se a passar por um episódio que poderá traumatizar-vos a vocês a à vossa família para o resto da vida. :/

1 comentário:

[pub]