本文经授权转自公众号CSDN(ID:CSDNnews)
整理 | 屠敏
作为一名 IT 自由从业者,本是受客户委托去检查软件安全问题,却最终被定性为黑客,还成为了被告,甚至遭到了处罚,这究竟是怎么一回事?
1 月 17 日,德国于利希地方法院宣布了一项最新判决结果:
“一位独立程序员帮助一家零售公司检查软件问题时,发现此软件存在一个导致近 70 万买家数据会暴露的重大漏洞。
为此,该名程序员联系了开发这款软件的公司,却遭软件开发商矢口否认,随后他与一名科技博主将这一漏洞公之于众,受到了广泛的关注。令人没想到的是,后来软件开发商将相关软件进行了下线处理后,也向警方举报了该名程序员,并称之为‘黑客’。
由于这种情况,
这名程序员现因未经授权访问第三方计算机系统和刺探数据
(根据《德国刑法典》(StGB)中所谓的黑客条款 202a 应受到惩罚)
而被处以 3,000 欧元(约 2.3 万元)的罚款,同时还必须支付诉讼费用。
”
身份的快速转换,这样的处罚,不仅让当事人一脸懵,也让不少开发者感到不解。
1、前情:一则 70 万条数据泄露事件引出的真相
最初这一事件发生在 2021 年 6 月,
彼时有不少外媒报道称,德国一家
名为 Modern Solution 公司发生严重的数据泄露事件,其软件存在的安全漏洞导致
70 万终端用户受到了影响。
根据资料显示,德国 Kaufland 超市、电子商务公司 Otto、互联网金融企业 Check24 和比价网站 Idealo 等公司为小型零售商提供了一个在线平台,方便小型零售商可以在这些网站上提供商品并进行售卖。
作为一家接口服务商,Modern Solution 帮助不想或不能直接连接到平台本身的零售商,并在此过程中将平台的界面与想要通过在线市场销售商品的零售商各自的商品管理系统连接起来。
简单来看,Modern Solution 帮助这些小的零售商将其商品管理系统连接到 Otto、Kaufland 和 Check24 等大公司的在线市场上,同时也保护平台上这些客户的数据。
然而彼时外媒披露的这一漏洞,能够查看自 2018 年夏季以来该平台上的所有交易信息,即谁从哪个零售商、何时购买了什么商品,包括姓名、地址,乃至银行卡等。
泄露事件爆出后,也引起了当地市场的广泛关注,在查证之后,几个大型公司接连出面安抚用户,其中互联网金融企业 Check24 表示,作为安全措施的一部分,他们只使用电子邮件别名,因此不会传递银行详细信息或实际电子邮件地址等个人信息。因此,该公司的客户不会受到数据泄露的影响。
紧接着,追责问题,众人也发现数据泄露是发生在服务提供商 Modern Solution 身上,而探其背后,揭晓这一漏洞的是一名程序员。
2、从拿钱查 Bug 的第三方程序员,到变成了非法访问后台的黑客
2021 年 6 月,一家零售商发现
他使用的软件产生过多日志消息,填充了整个数据库,于是便花钱聘请
这名程序员来帮他们解决问题,也让他有权查看安装在服务器上的软件。
起初这名程序员在排查问题时以为,这家零售商服务器上的软件连接的是 Modern Solution 公司的一个数据库,而这个数据库只为这一家零售商服务,只包含客户一家的数据。
然而不久之后,该程序员发现了不对劲,因为这一数据库包含的信息要多得多,
而他随即也发现 Modern Solution 公司提供的软件通过互联网与其公司在 Gladbeck 城市的服务器建立了 MySQL 连接。
后来他惊觉,数据库中包含了 Modern Solution 公司所有其他客户的数据以及其网上商店所有最终客户的数据。
不过,据后来这名程序员的代理律师称,“当他发现自己可以访问其他客户的数
据时,他立即断开了数据库连接。”
而回归当时,在发现问题之后,这位程序员第一时间找到了自己熟知的电子商务界知名博主 Mark Steier 简单地透露了自己的发现。Mark Steier 也建议这名程序员首先向 Modern Solution 公司报告他的发现。
第二天早上,这名程序员向 Modern Solution 报告了该漏洞,并提醒对方应该在三天内修复这个漏洞。
不过,后来程序员向媒体透露,他被粗暴地拒绝了,Modern Solution 公司否认存在漏洞。另一边,他发现 Modern Solution 将存在漏洞的系统下线处理。
既然漏洞已经修复,程序员和这位博主决定迅速向公众通报。博主 Steier 在发稿前,再次要求 Modern Solution 公司发表声明,但遭到拒绝。
所以,在 2021 年 6 月 23 日,Mark Steier 发表了关于一篇主题为《警告:JTL 合作伙伴 Modern Solution GmbH & Co. KG 数据泄露》
(https://wortfilter.de/warnung-datenleck-beim-jtl-partner-modern-solution-gmbh-co-kg/)
的文章,详解了漏洞的详情。
3、尴尬的披露时间
由于在这篇文章中,提到了超过 700,000 名终端客户受到影响,毫无疑问,此案吸引了公众的关注。
此外,有些尴尬的是,这名程序员和博主 Steier 在向制造商和相关数据保护机构报告数据泄漏和漏洞的当天就向公众公布了消息,也引发了不小的争论。
在很多人看来,有经验的安全研究人员通常会给公司更多的时间来对此事发表评论。
然而,如果 Modern Solution 公司真的粗暴地向这位程序员否认了漏洞,那么也可以理解为他们并不希望得到建设性的合作。
虽然披露的时间过于仓促,但是在不少外媒看来,技术上讲,这名程序员和科技博主已经遵守了负责任地披露信息的基本规则:在他们向公众通报时,漏洞显然已经修复。
