2024/01/20

Developer alemão culpado de hacking por ter descoberto falha de segurança

Na Alemanha decorre um caso preocupante, de um programador que está a ser acusado de hacking por simplesmente ter descoberto uma flagrante falha de segurança.

O programador tinha sido contratado por um cliente para resolver um problema com o software de gestão que utilizava e que gerava logs excessivos. No decorrer da sua investigação, descobriu que o programa fazia uma ligação MySQL a um servidor remoto pertencente aos criadores do software, a Modern Solution GmbH. Descobriu ainda que o programa usava uma password em plaintext, facilmente visível e acessível, e utilizou-a para se ligar à base de dados, onde descobriu não só os dados referentes ao seu cliente, como também a todos os demais 700 mil clientes da Modern Solution. Nessa altura, desligou-se da base de dados e contactou a empresa para a alertar desta situação. Por outro lado, sem ter aguardado por resposta, divulgou esta falha publicamente no mesmo dia - tendo a empresa apresentado queixa nas autoridades por "acesso não autorizado" aos seus sistemas, dando origem a este processo que, por agora, considerou o developer culpado de hacking.

Apesar da flagrante falha de segurança ao utilizar um password em plaintext que qualquer pessoa pode obter e usar, o juiz considerou que o simples acesso a informação protegida por password constitui uma violação da lei, que não especifica que a protecção da informação tenha que ter qualquer tipo de robustez. Por seu lado, a empresa negou que existisse qualquer problema de segurança nos seus sistemas (apesar de se apressar a corrigir a situação).

Agora, o caso irá passar para instâncias superiores em resultado do recurso apresentado pelo programador - com a decisão final a ter impacto significativo no rumo da actividade dos investigadores de segurança, e até simples programadores, que se deparem com situações idênticas.

Sem comentários:

Enviar um comentário (problemas a comentar?)