Специалист попал в ловушку Modern Solution и стал козлом отпущения.
В Германии IT-консультант был оштрафован на €3 000 за обнаружение и сообщение об уязвимости базы данных интернет-магазина, которая раскрыла данные почти 700 000 клиентов.
В июне 2021 года специалист, известный как Хендрик Х., работая над устранением неполадок в программном обеспечении для клиента IT-компании Modern Solution GmbH, обнаружил, что код Modern Solution использует подключение MySQL к серверу баз данных MariaDB. Пароль для доступа к серверу был сохранён в открытом виде в исполняемом файле MSConnect.exe, что позволяло любому пользователю с помощью простого текстового редактора увидеть незашифрованные учетные данные.
Пароль открывал доступ ко всей информации около 700 000 клиентов различных интернет-магазинов. Клиенты совершали покупки у мелких продавцов, использующих программное обеспечение Modern Solution для работы на крупных онлайн-платформах, таких как Otto, Kaufland или Check24. Программные файлы Modern Solution были свободно доступны в Интернете, что позволяло любому пользователю найти пароли к базам данных в исходных кодах.
Извлечение данных о конечных потребителях розничных продавцов
Modern Solution выпустила заявление, в котором говорилось о наличии уязвимости в их системе, позволявшей получить доступ к базе данных и незашифрованным паролям и личным данным. По словам компании, были раскрыты чувствительные данные клиентов Modern Solution: фамилии, имена, адреса электронной почты, телефонные номера, банковские реквизиты, пароли, а также история переписок и звонков. Также указывается, что был раскрыт ограниченный объем данных – имена и адреса – покупателей, совершивших покупки у розничных клиентов компании.
В сентябре 2021 года полиция Германии конфисковала компьютеры IT-консультанта после жалобы от Modern Solution. Высокопоставленные сотрудники компании утверждали, что программист ранее работал в компании JTL, производящей системы, с которыми взаимодействует ПО Modern Solution. Отношения с JTL были прекращены из-за конфликтов. Представители Modern Solution заявили полиции, что доступ к паролям был получен благодаря знаниям, полученным в JTL.
Хендрику Х. было предъявлено обвинение в незаконном доступе к данным по статье 202a Уголовного кодекса Германии на основании правила, согласно которому изучение данных, защищенных паролем, может классифицироваться как преступление.
В июне 2023 года окружной суд встал на сторону IT-консультанта, поскольку программное обеспечение Modern Solution было недостаточно защищено. Однако апелляционный суд отправил дело на новое рассмотрение. 17 января окружной суд оштрафовал Хендрика Х. и обязал его оплатить судебные издержки. Программист заявил, что его целью была защита клиентов. Приговор еще не имеет юридической силы, поскольку у обеих сторон есть неделя на подачу апелляции, что и намерен сделать Хендрик Х.
Марк Штайер, блогер и специалист по электронной коммерции, который обнародовал информацию об уязвимости, назвал решение суда «шокирующим», поскольку пароль, сохраненный почти в открытом виде, не может считаться «особым обеспечением безопасности». Он отметил, что в таком случае должен был быть привлечен эксперт, но этого не произошло. Также Штайер заявил, что Modern Solution преуменьшила масштабы утечки данных.
Исследователь безопасности Владимир Палант выразил недовольство решением суда, отметив, что такое решение создает угрозу для законной исследовательской деятельности, позволяя компаниям уклоняться от обеспечения адекватной безопасности и в конечном итоге подвергая опасности пользователей.
Живой, мертвый или в суперпозиции? Узнайте в нашем канале