Ένας γερμανικός δικαστής καταδίκασε ως χάκερ, έναν προγραμματιστή που ερευνούσε ένα πρόβλημα πληροφορικής και του επέβαλε πρόστιμο €3,000 για υποτιθέμενη μη εξουσιοδοτημένη πρόσβαση σε εξωτερικά υπολογιστικά συστήματα και παρακολούθηση δεδομένων.
Δείτε επίσης: Samsung: Παραβίαση δεδομένων επηρεάζει πελάτες
Σύμφωνα με την αρχική έκθεση του Heise, ο προγραμματιστής, λειτουργώντας ως ανεξάρτητος πάροχος υπηρεσιών πληροφορικής, αρχικά κλήθηκε από έναν πελάτη για να επιλύσει προβλήματα υπερβολικής δημιουργίας αρχείων καταγραφής, με το λογισμικό διαχείρισης εμπορευμάτων που χρησιμοποιούσαν.
Ο προγραμματιστής εξέτασε το λογισμικό και διαπίστωσε ότι δημιουργήθηκε μια σύνδεση MySQL με έναν απομακρυσμένο διακομιστή που ανήκει στην Modern Solution GmbH, τον προμηθευτή λογισμικού διαχείρισης.
Μετά τη σύνδεση στη βάση δεδομένων, διαπιστώθηκε ότι περιείχε όχι μόνο τα δεδομένα των πελατών του, αλλά και τα δεδομένα για σχεδόν 700.000 άλλους πελάτες της Modern Solution, αποτελώντας ένα σημαντικό ζήτημα απορρήτου δεδομένων.
Αφού συνειδητοποίησε ότι η βάση δεδομένων περιείχε δεδομένα για άλλες εταιρείες, ο προγραμματιστής αποσυνδέθηκε από την απομακρυσμένη βάση δεδομένων και συνεργάστηκε με έναν τεχνολογικό blogger για να βοηθήσει στην ενημέρωση του προμηθευτή λογισμικού για το ζήτημα της κυβερνοασφάλειας και της ιδιωτικότητας.
Η εταιρεία Modern Solution GmbH αποσύνδεσε τον διακομιστή για να επιδιορθώσει το πρόβλημα, διαψεύδοντας την ύπαρξη μιας ανεπάρκειας ασφαλείας στα συστήματά τους. Ο προγραμματιστής και ο τεχνολογικός blogger αποκάλυψαν γρήγορα το πρόβλημα την ίδια ημέρα χωρίς να περιμένουν σχόλιο από τον προμηθευτή λογισμικού διαχείρισης.
Λίγο αργότερα, η εταιρεία ανέφερε τον προγραμματιστή στην αστυνομία για μη εξουσιοδοτημένη πρόσβαση στα αποκαλυμμένα δεδομένα και τον διακομιστή της βάσης δεδομένων τους.
Δείτε ακόμα: Okta παραβίαση δεδομένων: Έχουν επηρεαστεί 134 πελάτες
Ο προγραμματιστής ανέφερε στο τεχνολογικό ιστολόγιο Word Filters ότι το λογισμικό διαχείρισης εντοπίστηκε να συνδέεται με έναν διακομιστή MySQL μέσω του Διαδικτύου. Για να καθορίσει τον σκοπό της σύνδεσης στη βάση δεδομένων, ο προγραμματιστής εξάλειψε τον κωδικό πρόσβασης κατά μονάδα από τα εκτελέσιμα αρχεία του λογισμικού διαχείρισης της MySQL σύνδεσης.
Η κατηγορία υποστήριξε ότι ο κατηγορούμενος πήγε μέχρι το σημείο της αποσυναρμολόγησης του λογισμικού. Ωστόσο, η Heise επιβεβαίωσε ότι ο προγραμματιστής απλώς κατέγραψε τις συμβολοσειρές στο εκτελέσιμο αρχείο MSConnect.exe για να βρει το κείμενο του κωδικού πρόσβασης.
Ωστόσο, το δικαστήριο αποφάσισε ότι η μη εξουσιοδοτημένη πρόσβαση σε δεδομένα που προστατεύονται με κωδικό πρόσβασης παραβιάζει το άρθρο 202c του γερμανικού ποινικού κώδικα, γνωστό και ως άρθρο του χάκερ.
Ο δικαστής παρέπεμψε σε μια νομοθετική τροποποίηση του 2007 για το hacking, τονίζοντας ότι η προστασία δεν χρειάζεται να είναι ανθεκτική για να αξιολογηθεί ως παράβαση.
Ωστόσο, ο δικαστής επέδειξε κάποια επιείκεια προς τον προγραμματιστή, λαμβάνοντας υπόψη το άρτιο προηγούμενο του, και επέβαλε μικρότερο πρόστιμο από αυτό που ζήτησε η δίωξη.
Ο δικηγόρος του κατηγορούμενου υποστήριξε ότι ο πελάτης του ενήργησε στο γενικό συμφέρον του κοινού, ενημερώνοντας υπεύθυνα τον προμηθευτή λογισμικού για το πρόβλημα ασφαλείας, και κριτικάροντας την άποψη του δικαστηρίου για το θέμα ως ξεπερασμένη.
Ο προγραμματιστής αποφάσισε να υποβάλει έφεση, με αποτέλεσμα η υπόθεση να μεταφερθεί σε ένα υψηλότερο περιφερειακό δικαστήριο στο Άαχεν. Αυτή η απόφαση μπορεί να έχει σημαντικές επιπτώσεις, καθώς μπορεί να δημιουργήσει ένα σημαντικό νομικό προηγούμενο.
Δείτε επίσης: 1Password: Επηρεάστηκε από την παραβίαση της Okta
Οι συνέπειες της μη τήρησης των προτύπων κυβερνοασφάλειας μπορούν να είναι σοβαρές και πολυδιάστατες. Πρώτον, υπάρχει το ενδεχόμενο διαρροής ευαίσθητων δεδομένων, όπως πληροφορίες πελατών, εταιρικά έγγραφα ή προσωπικά δεδομένα.
Δεύτερον, η μη τήρηση των προτύπων κυβερνοασφάλειας μπορεί να οδηγήσει σε οικονομικές απώλειες. Αυτό μπορεί να προκύψει από την απώλεια εμπιστοσύνης των πελατών, την απώλεια επιχειρηματικών ευκαιριών, τις δαπάνες για την αποκατάσταση των ζημιών ή τα πρόστιμα από τις ρυθμιστικές αρχές.
Τρίτον, η μη τήρηση των προτύπων μπορεί να προκαλέσει ζημιά στην εταιρική φήμη και την εμπιστοσύνη του κοινού. Αυτό μπορεί να έχει μακροπρόθεσμες επιπτώσεις στην επιχείρηση, καθώς η ανάκτηση από μια τέτοια ζημιά μπορεί να είναι δύσκολη και χρονοβόρα.
Τέλος, η μη τήρηση των προτύπων κυβερνοασφάλειας μπορεί να οδηγήσει σε νομικές συνέπειες. Αυτό μπορεί να περιλαμβάνει πρόστιμα από ρυθμιστικές αρχές, αγωγές από πελάτες ή άλλους ενδιαφερόμενους, ή ακόμη και ποινικές κυρώσεις για σοβαρές παραβάσεις.
Πηγή: bleepingcomputer
