2024年1月19日,据报道1月17日,德国于利希地方法院宣布了一项最新判决结果:“一位独立程序员帮助一家零售公司检查软件问题时,发现此软件存在一个导致近70万买家数据会暴露的重大漏洞”。为此,该名程序员联系了开发这款软件的公司,却遭软件开发商矢口否认,随后他与一名科技博主将这一漏洞公之于众,受到了广泛的关注。令人没想到的是,后来软件开发商将相关软件进行了下线处理后,也向警方举报了该名程序员,并称之为‘黑客’。
由于这种情况,这名程序员现因未经授权访问第三方计算机系统和刺探数据(根据《德国刑法典》(StGB)中所谓的黑客条款202a应受到惩罚)而被处以3,000 欧元(约2.3万元)的罚款,同时还必须支付诉讼费用。”
最初这一事件发生在2021年6月,德国一家名为Modern Solution公司发生严重的数据泄露事件,其软件存在的安全漏洞导致70万终端用户受到了影响。
根据资料显示,德国Kaufland超市、电子商务公司 Otto、互联网金融企业Check24和比价网站Idealo等公司为小型零售商提供了一个在线平台,方便小型零售商可以在这些网站上提供商品并进行售卖。
作为一家接口服务商,Modern Solution 帮助不想或不能直接连接到平台本身的零售商,并在此过程中将平台的界面与想要通过在线市场销售商品的零售商各自的商品管理系统连接起来。简单来看,Modern Solution 帮助这些小的零售商将其商品管理系统连接到Otto、Kaufland和 Check24等大公司的在线市场上,同时也保护平台上这些客户的数据。
然而彼时外媒披露的这一漏洞,能够查看自2018年夏季以来该平台上的所有交易信息,即谁从哪个零售商、何时购买了什么商品,包括姓名、地址,乃至银行卡等。泄露事件爆出后,也引起了当地市场的广泛关注,在查证之后,几个大型公司接连出面安抚用户,其中互联网金融企业Check24表示,作为安全措施的一部分,他们只使用电子邮件别名,因此不会传递银行详细信息或实际电子邮件地址等个人信息。因此,该公司的客户不会受到数据泄露的影响。
紧接着,追责问题,众人也发现数据泄露是发生在服务提供商Modern Solution身上,而探其背后,揭晓这一漏洞的是一名程序员。
2021年6月,一家零售商发现他使用的软件产生过多日志消息,填充了整个数据库,于是便花钱聘请这名程序员来帮他们解决问题,也让他有权查看安装在服务器上的软件。起初这名程序员在排查问题时以为,这家零售商服务器上的软件连接的是Modern Solution公司的一个数据库,而这个数据库只为这一家零售商服务,只包含客户一家的数据。
然而不久之后,该程序员发现了不对劲,因为这一数据库包含的信息要多得多,而他随即也发现Modern Solution公司提供的软件通过互联网与其公司在 Gladbeck 城市的服务器建立了MySQL连接。后来他惊觉,数据库中包含了Modern Solution公司所有其他客户的数据以及其网上商店所有最终客户的数据。
不过,据后来这名程序员的代理律师称,“当他发现自己可以访问其他客户的数据时,他立即断开了数据库连接。”
而回归当时,在发现问题之后,这位程序员第一时间找到了自己熟知的电子商务界知名博主Mark Steier简单地透露了自己的发现。Mark Steier也建议这名程序员首先向 Modern Solution 公司报告他的发现。第二天早上,这名程序员向Modern Solution报告了该漏洞,并提醒对方应该在三天内修复这个漏洞。
不过,后来程序员向媒体透露,他被粗暴地拒绝了,Modern Solution 公司否认存在漏洞。另一边,他发现Modern Solution将存在漏洞的系统下线处理。既然漏洞已经修复,程序员和这位博主决定迅速向公众通报。博主 Steier 在发稿前,再次要求Modern Solution公司发表声明,但遭到拒绝。
随后Modern Solution以程序员刺探数据、窃取数据和违反联邦数据保护法等罪名向警局报了案。来源:CSND
图片来源于网络,版权归原作者所有,如有侵权,请联系删除。
END
22 January2024
点分享
点收藏
点点赞
点在看
原文始发于微信公众号(安信安全):程序员发现Bug遭开发商否认 后客户数据泄露被判罚3000欧元
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论