.
Um investigador de segurança na Alemanha foi multado em 3.000 euros (3.300 dólares, 2.600 libras) por encontrar e reportar uma vulnerabilidade numa base de dados de comércio eletrónico que expôs quase 700.000 registos de clientes.
Em junho de 2021, de acordo com nossos amigos da Heise, um empreiteiro identificado em outro lugar como Hendrik H. estava solucionando problemas de software para um cliente da empresa de serviços de TI Modern Solution GmbH. Ele descobriu que o código da Modern Solution fazia uma conexão MySQL com um servidor de banco de dados MariaDB operado pelo fornecedor. Descobriu-se que a senha para acessar aquele servidor remoto estava armazenada em texto simples no arquivo de programa MSConnect.exe, e abri-lo em um editor de texto simples revelaria a credencial codificada não criptografada.
Com essa senha fácil de encontrar em mãos, qualquer pessoa poderia fazer login no servidor remoto e acessar dados pertencentes não apenas àquele cliente da Modern Solution, mas também aos dados pertencentes a ele. todos dos clientes do fornecedor armazenados nesse servidor de banco de dados. Diz-se que essas informações incluíam detalhes pessoais dos próprios clientes desses clientes. E fomos informados de que os arquivos de programa da Modern Solution estavam disponíveis gratuitamente na web, então qualquer pessoa poderia inspecionar os executáveis em um editor de texto em busca de senhas de banco de dados codificadas em texto simples.
As conclusões do empreiteiro foram discutidas num relatório de 23 de junho de 2021 por Mark Steier, que escreve sobre comércio eletrónico. Naquele mesmo dia, a Modern Solution emitiu um comunicado [PDF] – traduzido do alemão – resumindo o incidente:
A declaração indica que foram expostos dados confidenciais sobre clientes da Modern Solution: sobrenomes, nomes, endereços de e-mail, números de telefone, dados bancários, senhas e históricos de conversas e chamadas. Mas afirma que apenas uma quantidade limitada de dados – nomes e endereços – sobre compradores que fizeram compras a estes clientes retalhistas foi exposta.
Steier afirma que isso está incorreto e alegou que a Modern Solution minimizou a seriedade dos dados expostos, que, segundo ele, incluíam extensos dados de clientes das lojas online operadas pelos clientes da Modern Solution.
Em setembro de 2021, a polícia alemã apreendeu os computadores do consultor de TI na sequência de uma reclamação da Modern Solution que alegava que ele só poderia ter obtido a palavra-passe através de conhecimento interno – ele trabalhou anteriormente para uma empresa relacionada – e a empresa alegou que ele era um concorrente.
Hendrik H. foi acusado de acesso ilegal a dados ao abrigo da Secção 202a do Código Penal alemão, com base na regra de que o exame de dados protegidos por uma palavra-passe pode ser classificado como crime ao abrigo da lei de segurança cibernética do país europeu.
Em junho de 2023, um Tribunal Distrital de Jülich, no oeste da Alemanha, apoiou o consultor de TI porque o software Modern Solution não estava suficientemente protegido. Mas o tribunal regional de Aachen instruiu o tribunal distrital a ouvir a queixa. Agora, o tribunal distrital reverteu a sua decisão inicial. Em 17 de janeiro, um Tribunal Distrital de Jülich multou Hendrik H. e ordenou-lhe que pagasse as custas judiciais.
“A ordem de penalidade é ainda mais chocante porque é fundamentalmente errada”, escreveu Steier, o blogueiro que ajudou a trazer à luz o banco de dados exposto, em um post na quarta-feira.
“Uma senha que foi salva quase em texto simples não constitui uma ‘segurança especial’ exigida pelo §202. É compreensível que um juiz não possa avaliar isso, mas então um especialista teria que ser ouvido exatamente sobre isso. pergunta. Infelizmente isso não aconteceu.”
Segundo relatos, o veredicto ainda não é juridicamente vinculativo, uma vez que as duas partes têm uma semana para recorrer, o que o consultor de TI pretende fazer.
Em uma postagem no Mastodon, Wladimir Palant, pesquisador de segurança, desenvolvedor de software e cofundador da empresa alemã de filtragem de anúncios biz eyeo, expressou frustração com a decisão do tribunal.
“Espero sinceramente que haja uma decisão da próxima instância anulando esta decisão novamente”, escreveu Palant. “Mas é exatamente o que as pessoas temiam: não importa quão falha seja a suposta ‘proteção’, a sua mera existência transforma a investigação de segurança em pirataria criminosa ao abrigo da lei alemã. Isto tem um efeito inibidor sobre a investigação legítima, permitindo que as empresas escapem impunes de segurança inadequada e no final, colocando os usuários em perigo.” ®
.
