Кодер, нашедший уязвимость в софте Modern Solution, вместо вознаграждения получил иск.
По информации The Register, летом 2021 года один немецкий программист (в сети он известен под именем Хендрик Х.) работал над исправлением ошибок в ПО для клиента компании Modern Solution GmbH. В процессе работы он выяснил, что программный код решения Modern Solution использует подключение MySQL к серверу БД MariaDB, а пароль хранится в незащищенном виде прямо в файле .exe. С помощью этого пароля можно было получить доступ к данным 700 000 клиентов ряда популярных онлайн-магазинов, которые покупали товары на площадках продавцов, использовавших ПО Modern Solution.
При этом софт Modern Solution можно было легко найти в сети, а значит, практически любой пользователь интернета мог добраться до незашифрованного пароля и получить доступ к данным 700 тысяч пользователей.
Сам программист утверждает, что сразе же после нахождения уязвимости он отключил соединение с БД и сообщил о проблеме в Modern Solution. Точно неизвестно, как именно он инициировал контакт с вендором — напрямую или через третье лицо. В частности, пользователь Хабра утверждает, что специалист сообщил об узявимости через некоего техноблоггера.
Позже Modern Solution прокомментировала инцидент. В соответствующем документе сообщается, что были раскрыты конфиденциальные данные клиентов Modern Solution: имена и фамилии, emailы, номера телефонов, банковские реквизиты, пароли, а также истории разговоров и звонков. Однако в нем также утверждается, что обнародован был далеко не весь объем данных, а лишь имена и адреса покупателей, которые совершали покупки у ритейлеров.
Марк Штайер, блогер и ecom-специалист, который опубликовал информацию об уязвимости, считает, что Modern Solution намеренно преуменьшила серьезность утечки. По его словам, уязвимость затронула солидный объем данных о покупателях онлайн-магазинов, которыми управляли клиенты Modern Solution.
В сентябре 2021 года полиция Германии изъяла технику Хендрика по жалобе компании Modern Solution. По мнению вендора, программист мог получить пароль только благодаря инсайдерской информации, ведь ранее он работал в организации, которая сотрудничала с Modern Solution.
Хендрика Х. обвинили в незаконном доступе к данным в соответствии со статьей 202a Уголовного кодекса Германии, согласно которой получение доступа к запароленным данным может быть квалифицировано как преступление.
В июне 2023 года окружной суд вынес решение в пользу программиста, признав софт Modern Solution недостаточно защищенным, однако позже отменил свое решение. 17 января Хендрику Х. был назначен штраф. Помимо него, он также обязан оплатить судебные издержки.
Штайер назвал решение суда «шокирующим». По его мнению пароль, хранение пароль в открытом виде не может считаться «особым обеспечением безопасности».
По имеющимся данным, программист планирует обжаловать решение суда.
Ситуация действительно складывается спорная. Из имеющихся в сети данных не совсем ясно, почему программист сообщил об уязвимости не напрямую, а фактически через третье лицо. Возможно, если бы он сразу связался с вендором, исход был бы несколько другим. А что вы думаете об инциденте? Кто прав — программист или компания? Поделитесь своим мнением в комментариях.
А если вы и сами не против проверить софт на прочность, приглашаем вас принять участие в наше программе Bug Bounty. Находите ошибки и уязвимости в продуктах компании ISPsystem и получайте реальное денежное вознаграждение! Все подробности — на нашем сайте.
