Действия города Колумбус раскрывают подводные камни этичного хакинга.
Город Колумбус, Огайо, подтвердил, что данные полумиллиона человек были скомпрометированы и, возможно, похищены в результате летней кибератаки с применением программы-вымогателя Rhysida.
По заявлению города, от утечки данных могли пострадать ровно 500 000 человек — необычайно круглая цифра для подобных инцидентов. Это первый раз, когда власти Колумбуса раскрыли масштаб атаки и утечки данных. Rhysida заявила, что после отказа от выплаты выкупа загрузила на свой блог около 3 ТБ похищенных файлов, но точное количество пострадавших определить сложно.
Раскрытие масштаба инцидента стало возможным благодаря отчёту для генпрокурора штата Мэн, тогда как уведомления, разосланные потенциальным жертвам 7 октября, не содержали информации о количестве пострадавших или типах утёкших данных. Среди них — имена, даты рождения, адреса, банковские реквизиты, водительские удостоверения, номера социального страхования и другие персональные сведения.
Исследователь безопасности Коннор Гудвулф (Дэвид Лерой Росс), загрузивший файл Rhysida, сообщил, что среди источников данных был, вероятно, сервер прокуратуры города. Он отметил, что среди пострадавших оказались жертвы домашнего насилия, чьи имена и адреса теперь могут быть под угрозой.
Специалисты Департамента технологий Колумбуса заблокировали несанкционированный доступ и инициировали расследование, подключив сторонних экспертов и уведомив правоохранительные органы. Несмотря на предпринятые меры, утечка вызвала общественный резонанс.
В августе город подал иск против самого Росса, объясняя это попыткой предотвратить возможное распространение данных. Власти потребовали от исследователя возмещения убытков на сумму более $25 000 и полного прекращения разглашение информации о взломе.
Решение властей Колумбуса подать иск против исследователя вызвало волну обсуждений на тему границ этичного хакинга и его роли в защите общества. Белые хакеры, или специалисты по кибербезопасности, часто сталкиваются с непростой дилеммой: разглашать найденные уязвимости во имя защиты людей или избегать возможных судебных исков и наказания.
Многие считают, что прозрачность и своевременное информирование общества о подобных инцидентах помогают минимизировать ущерб, предотвращая новые атаки. Но в данном случае действия Колумбуса показали, что даже благие намерения могут обернуться против исследователя, что вызывает вопросы о справедливости в данной сфере.
К счастью, спустя два месяца стороны пришли к соглашению, и городской судебный иск будет отозван. Однако, для окончательного прекращения дела, Гуд Росс согласился на постоянный запрет на разглашение информации, за исключением случаев, когда она уже является публичной и одобрена к публикации городом.
Кейси Эллис, основатель компании Bugcrowd, комментирует, что данный случай может создать опасный прецедент, который отпугнёт других исследователей от публичного раскрытия уязвимостей в интересах общества. По его словам, подобные разбирательства могут негативно повлиять на сообщество специалистов по кибербезопасности.
Одно найти легче, чем другое. Спойлер: это не темная материя