Tribunal acusa desenvolvedor de hacking após divulgação de problema de segurança cibernética
22 de Janeiro de 2024

Um tribunal alemão acusou um programador que investigava um problema de TI de hacking e o multou em €3.000 ($3.265) por considerar que ele havia acessado sem permissão sistemas computacionais externos e espionado dados.

De acordo com o relatório original publicado por Heise, o programador, agindo como um prestador de serviços de TI freelance, foi inicialmente contratado por um cliente para resolver problemas de excesso de geração de registros no software de gerenciamento de mercadorias que estavam usando.

O programador examinou o software e descobriu que ele estabelecia uma conexão MySQL com um servidor remoto pertencente à Modern Solution GmbH, a fornecedora do software de gerenciamento.

Após se conectar ao banco de dados, foi determinado que este não só continha os dados do seu cliente, mas também os de quase 700.000 outros clientes da Modern Solution, representando um significativo problema de privacidade de dados.

Ao perceber que o banco de dados continha informações de outras empresas, o programador desconectou-se do banco de dados remoto e trabalhou com um blogueiro de tecnologia para ajudar a notificar o fornecedor do software sobre a questão de cibersegurança e privacidade.

A Modern Solution GmbH tirou o servidor do ar para corrigir o problema, negando que houvesse uma lacuna de segurança em seus sistemas.

O programador e o blogueiro de tecnologia divulgaram rapidamente o problema no mesmo dia sem esperar por um comentário do fornecedor do software de gerenciamento.

Pouco depois, a empresa denunciou o programador à polícia por acesso não autorizado aos dados expostos e ao servidor do banco de dados.

O programador disse ao blog de tecnologia Word Filters que o software de gerenciamento foi encontrado se conectando a um servidor MySQL através da Internet.

Para determinar para que servia a conexão do banco de dados, o programador extraiu a senha em texto simples para a conexão do banco de dados MySQL de um dos executáveis do software de gerenciamento.

A acusação alegou que o réu chegou ao ponto de descompilar o software.

No entanto, Heise confirmou que o programador simplesmente listou as strings no executável MSConnect.exe para encontrar a senha em texto simples.

No entanto, o tribunal decidiu que o acesso não autorizado a dados protegidos por senha viola a Seção 202c do Código Penal Alemão, também conhecida como Parágrafo do Hacker.

O juiz citou uma emenda legislativa de 2007 sobre hacking, enfatizando que a proteção não precisa ser robusta para justificar a ofensa.

No entanto, o juiz demonstrou alguma leniência em relação ao consultor, considerando seu histórico limpo, e impôs uma multa menor do que a acusação exigia.

O advogado do réu argumentou que seu cliente agiu no interesse público, informando de maneira responsável ao fornecedor do software sobre a falha de segurança, e criticou a visão do tribunal sobre o assunto como ultrapassada.

O programador decidiu apelar da decisão, e o caso será encaminhado para um tribunal regional superior em Aachen, onde a decisão poderá assumir um papel importante como precedente legal.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...