В Германии вынесли приговор по делу, берущему начало в 2021 году. Немецкий программист в рамках работы над устранением неполадок в ПО компании Modern Solution обнаружил уязвимость, позволяющую получить доступ к данным 700 тысяч клиентов компании. Он связался с Modern Solution, после чего компания закрыла уязвимость и подала в суд на программиста, обвинив его в незаконном доступе к данным.
Согласно представленным материалам, на момент происшествия программист был внештатным ИТ‑консультантом и работал с ПО Modern Solution по заказу самой компании. В ходе работы выяснилось, что клиентский софт устанавливает MySQL‑соединение с головным сервером, используя пароль, записанный в исполняемом файле MSConnect.exe в формате plaintext. Программист полагал, что при тестовом подключении к базе он обнаружит только данные непосредственно своего заказчика, однако получил доступ к данным всех 700 тысяч его клиентов. По его словам, поняв это, он сразу отключил соединение с базой данных и сообщил о проблеме Modern Solution.
UPD: Мною была допущена ошибка при переводе. Спасибо за комментарий @Kanut
Das Amtsgericht Jülich hat am 17. Januar einen Programmierer verurteilt, der im Auftrag eines Kunden eine Software analysiert und darin eine Sicherheitslücke gefunden hatte, welche die Daten von knapp 700.000 Einkäufern in Online‑Shops im Internet offengelegt hatte.
То есть программист работал по заказу какого‑то своего клиента. Но не Modern Solution. И уже клиент выдал ему софт. И потом он через какого‑то «техноблоггера» контактировал уже саму Modern Solution.
После того, как уязвимость была устранена, информация о ней с описанием сути проблемы появилась в сети. Modern Solution также выпустила уведомление об утечке. Поскольку программные файлы компании находились в свободном доступе, практически любой мог получить доступ к базе данных и, возможно, даже получал, но не сообщал о проблеме в компанию.
Modern Solution устранила уязвимость и заявила на программиста в полицию, обвинив его в декомпиляции исполняемого файла, незаконном получении пароля и доступа к клиентским данным. Также компания подала жалобу на блогера, через которого тот программист получил софт. Кроме того, топ‑менеджеры организации заявили, что сам обвиняемый работал ранее в компании JTL, бывшем партнёре Modern Solution, с которым у компании испортились отношения, и что доступ к паролю он получил благодаря инсайдерским знаниям, полученным в JTL. Таким образом Modern Solution объясняла наличие злого умысла.
В ходе долгого разбирательства в 2023 году программиста сначала оправдали, учтя представленные доказательства низкого уровня защиты ПО компании Modern Solution и что пароль находился почти в «открытом доступе», но вскоре дело направилось в апелляционный суд. 17 января этого года суд признал программиста виновным по статье § 202a Уголовного кодекса страны и оштрафовал на €3000 (изначально прокуратура просила €5400). Прокуратура посчитала доказанным факт того, что обвиняемый пытался нанести ущерб компании. Кроме того, сам факт наличия пароля, даже плохо защищённого, уже свидетельствует о наличии защиты и попадает под соответствующую статью согласно обвинению. Факт того, что доступ был получен в рамках функциональной проверки по запросу пострадавшей стороны, не послужил оправданием.
