Специалист по безопасности оштрафован за выполнение своих обязанностей

Логотип компании
25.01.2024
Специалист по безопасности оштрафован за выполнение своих обязанностей

Иллюстрация: StunningArt/shutterstock.com

Сторонний специалист по информационной безопасности, привлеченный немецкой компанией для анализа взломостойкости системы, был оштрафован на 3300 долларов за обнаружение и сообщение об уязвимости базы данных.

Предполагается, что до момента обнаружения уязвимости были раскрыты почти 700 000 учетных записей клиентов. Еще в июне 2021 года, аудитор занимался устранением неполадок программного обеспечения для Modern Solution GmbH. Он обнаружил, что пароль для доступа к этому удаленному серверу был сохранен в виде обычного текста в программном файле MSConnect.exe, и открытие его в простом текстовом редакторе позволило бы обнаружить незашифрованные учетные данные.

Имея под рукой этот легко находимый пароль, любой мог войти на удаленный сервер и получить доступ к данным, принадлежащим не только одному клиенту Modern Solution, но и получить сведения обо всех клиентах, чьи учетные записи хранились на сервере. Учетные записи содержали в себе личные данные клиентов. Кроме того, программные файлы ПО были доступны в Интернете, и каждый мог проверить исполняемые файлы в текстовом редакторе на наличие простого текста, содержащего ключевые пароли доступа.

Руководство компании получило отчет о происходящем, и в тот же день компания Modern Solution опубликовала заявление с кратким изложением инцидента. В нем говорилось, что были раскрыты конфиденциальные данные о клиентах компании: фамилии, имена, адреса электронной почты, номера телефонов, банковские реквизиты, пароли, а также истории разговоров и звонков. Тем не менее, в нем утверждалось, что был раскрыт лишь «небольшой» объем данных. Аудитор же настаивал на том, что компания преуменьшала серьезность проблемы. Вполне вероятно, что подобная несговорчивость и привела к эскалации конфликта

После жалобы от Modern Solution, компьютеры ИТ-консультанта по безопасности были конфискованы полицией, а руководство компании заявило, что он мог получить пароль доступа только благодаря инсайду.

Чуть позже он был обвинен в незаконном доступе к данным. В соответствии с уголовным кодексом Германии изучение данных, защищенных паролем, может быть квалифицировано как преступление, и в соответствии с ним, суд оштрафовал эксперта по безопасности и обязал его оплатить судебные издержки.

Читайте также
IT-World рассмотрел основные компоненты работы Zero Trust и узнал, почему концепцию сложно применить на практике. Расскажем о технологических решениях, которые поддерживают принципы Zero Trust.

Похожие статьи