Новости ИТ-консультант заплатит €3000 за то, что он осмелился разоблачить некачественную систему безопасности

NewsMaker

I'm just a script
Премиум
14,594
22
8 Ноя 2022
Программист попал в ловушку Modern Solution и стал козлом отпущения.


kbaxy2f794fn71fid1b6pwn8v6510bvd.jpg


В Германии IT-консультант был оштрафован на €3 000 за обнаружение и сообщение об уязвимости базы данных интернет-магазина, которая раскрыла данные почти 700 000 клиентов.

В июне 2021 года специалист, известный как Хендрик Х., работая над устранением неполадок в программном обеспечении для клиента IT-компании Modern Solution GmbH, обнаружил, что код Modern Solution использует подключение MySQL к серверу баз данных MariaDB. Пароль для доступа к серверу был сохранён в открытом виде в исполняемом файле MSConnect.exe, что позволяло любому пользователю с помощью простого текстового редактора увидеть незашифрованные учетные данные.

Пароль открывал доступ ко всей информации около 700 000 клиентов различных интернет-магазинов. Клиенты совершали покупки у мелких продавцов, использующих программное обеспечение Modern Solution для работы на крупных онлайн-платформах, таких как Otto, Kaufland или Check24. Программные файлы Modern Solution были свободно доступны в Интернете, что позволяло любому пользователю найти пароли к базам данных в исходных кодах.


qgwmy00s7hx3z3euffjpyw7z50my3ewt.png


Извлечение данных о конечных потребителях розничных продавцов

Modern Solution Для просмотра ссылки Войди или Зарегистрируйся заявление, в котором говорилось о наличии уязвимости в их системе, позволявшей получить доступ к базе данных и незашифрованным паролям и личным данным. По словам компании, были раскрыты чувствительные данные клиентов Modern Solution: фамилии, имена, адреса электронной почты, телефонные номера, банковские реквизиты, пароли, а также история переписок и звонков. Также указывается, что был раскрыт ограниченный объем данных – имена и адреса – покупателей, совершивших покупки у розничных клиентов компании.

В сентябре 2021 года полиция Германии конфисковала компьютеры IT-консультанта после жалобы от Modern Solution. Высокопоставленные сотрудники компании утверждали, что программист ранее работал в компании JTL, производящей системы, с которыми взаимодействует ПО Modern Solution. Отношения с JTL были прекращены из-за конфликтов. Представители Modern Solution заявили полиции, что доступ к паролям был получен благодаря знаниям, полученным в JTL.

Хендрику Х. было предъявлено обвинение в незаконном доступе к данным по Для просмотра ссылки Войди или Зарегистрируйся Уголовного кодекса Германии на основании правила, согласно которому изучение данных, защищенных паролем, может классифицироваться как преступление.

В июне 2023 года окружной суд встал на сторону IT-консультанта, поскольку программное обеспечение Modern Solution было недостаточно защищено. Однако апелляционный суд отправил дело на новое рассмотрение. 17 января окружной суд оштрафовал Хендрика Х. и обязал его оплатить судебные издержки. Программист заявил, что его целью была защита клиентов. Приговор еще не имеет юридической силы, поскольку у обеих сторон есть неделя на подачу апелляции, что и намерен сделать Хендрик Х.

Марк Штайер, блогер и специалист по электронной коммерции, который Для просмотра ссылки Войди или Зарегистрируйся об уязвимости, назвал решение суда «шокирующим», поскольку пароль, сохраненный почти в открытом виде, не может считаться «особым обеспечением безопасности». Он отметил, что в таком случае должен был быть привлечен эксперт, но этого не произошло. Также Штайер заявил, что Modern Solution преуменьшила масштабы утечки данных.

Исследователь безопасности Владимир Палант Для просмотра ссылки Войди или Зарегистрируйся решением суда, отметив, что такое решение создает угрозу для законной исследовательской деятельности, позволяя компаниям уклоняться от обеспечения адекватной безопасности и в конечном итоге подвергая опасности пользователей.
 
Источник новости
www.securitylab.ru

Похожие темы