O programador tinha sido contratado por um cliente para resolver um problema com o software de gestão que utilizava e que gerava logs excessivos. No decorrer da sua investigação, descobriu que o programa fazia uma ligação MySQL a um servidor remoto pertencente aos criadores do software, a Modern Solution GmbH. Descobriu ainda que o programa usava uma password em plaintext, facilmente visível e acessível, e utilizou-a para se ligar à base de dados, onde descobriu não só os dados referentes ao seu cliente, como também a todos os demais 700 mil clientes da Modern Solution. Nessa altura, desligou-se da base de dados e contactou a empresa para a alertar desta situação. Por outro lado, sem ter aguardado por resposta, divulgou esta falha publicamente no mesmo dia - tendo a empresa apresentado queixa nas autoridades por "acesso não autorizado" aos seus sistemas, dando origem a este processo que, por agora, considerou o developer culpado de hacking.
Apesar da flagrante falha de segurança ao utilizar um password em plaintext que qualquer pessoa pode obter e usar, o juiz considerou que o simples acesso a informação protegida por password constitui uma violação da lei, que não especifica que a protecção da informação tenha que ter qualquer tipo de robustez. Por seu lado, a empresa negou que existisse qualquer problema de segurança nos seus sistemas (apesar de se apressar a corrigir a situação).
Agora, o caso irá passar para instâncias superiores em resultado do recurso apresentado pelo programador - com a decisão final a ter impacto significativo no rumo da actividade dos investigadores de segurança, e até simples programadores, que se deparem com situações idênticas.
Sem comentários:
Enviar um comentário (problemas a comentar?)