Desenvolvedor alemão que expôs credenciais hardcoded em aplicativo é condenado por acusação de 'hacking'

 (infosec.exchange)
1 pontos por GN⁺ 2024-01-20 | 1 comentários | Compartilhar no WhatsApp

A lei alemã torna a pesquisa em segurança algo perigoso

  • Um tribunal alemão condenou um desenvolvedor por acusação de 'hacking'.
  • O desenvolvedor foi encarregado de investigar um software que gerava mensagens de log em excesso e descobriu que o software estava fazendo uma conexão MySQL com o servidor de banco de dados do fornecedor.
  • Ao verificar a conexão MySQL, ele descobriu que o banco de dados continha não apenas dados do cliente, mas também dados de todos os clientes do fornecedor. Ele informou o fornecedor imediatamente, mas o fornecedor corrigiu a vulnerabilidade e, ao mesmo tempo, apresentou uma queixa.

Decisão do tribunal

  • Houve ampla discussão sobre se credenciais de banco de dados hardcoded no aplicativo (aparentemente em texto simples, sem sequer exigir descompilação) constituíam uma medida de proteção suficiente para justificar a acusação de hacking.
  • A decisão do tribunal afirma que, como havia uma senha, um mecanismo de proteção foi contornado, e isso configura hacking.
  • Com essa decisão, até mesmo a mera existência de uma 'proteção', por mais defeituosa que seja, acaba transformando a pesquisa em segurança em hacking criminoso sob a legislação alemã.

Reação da comunidade

  • Na comunidade, opiniões sobre o caso foram compartilhadas por meio de várias analogias.
  • Alguns argumentam que usar credenciais hardcoded pode configurar hacking, mas que a intenção e os danos causados também devem ser considerados.
  • Outros apontam que o software do fornecedor estava fazendo chamadas para uma infraestrutura externa não documentada e potencialmente compartilhando dados sensíveis.
  • Também foi mencionada a necessidade de auditores independentes legalmente protegidos e os problemas quando isso não é viável.

Opinião do GN⁺

  • Este caso mostra que o ato de encontrar e relatar vulnerabilidades por pesquisadores de segurança pode envolver riscos legais.
  • A decisão do tribunal destaca a tensão entre pesquisa em segurança e divulgação responsável, e desencadeia uma discussão importante sobre como os marcos legais devem se harmonizar com o avanço tecnológico.
  • Também sugere que decisões como essa podem ter um efeito inibidor sobre pesquisadores de segurança, permitindo que empresas que adotam medidas de segurança inadequadas evitem enfrentar o problema e, no fim, exponham os usuários a riscos.

Leituras relacionadas

1 comentários

 
GN⁺ 2024-01-20
Comentários do Hacker News

  • O título parece confuso e quase clickbait

    • O título da matéria é confuso e fica na fronteira do clickbait. Na prática, o problema não foi expor credenciais do banco de dados, mas usá-las para fazer login no servidor de banco de dados de terceiros. Isso é um grande problema por causa do artigo penal StGB 202 ff., que na prática tornou a pesquisa em segurança quase impossível na Alemanha.

  • O problema da pesquisa em segurança na Alemanha

    • Na Alemanha, há cerca de 20 anos quase não existem jovens engenheiros interessados em segurança, e mesmo os profissionais formados são raros. As grandes empresas absorveram todos os talentos competentes, e os melhores foram para o exterior. Como resultado, a maioria das pequenas e médias empresas alemãs é hackeada todos os dias, e como ninguém faz auditoria, tudo conectado à rede vira um risco de segurança.

  • Conselho jurídico

    • Esperar que esse caso seja rejeitado em um tribunal superior é uma ideia muito ingênua. O réu vai desperdiçar anos passando por várias instâncias judiciais e gastar cerca de 100 mil euros em honorários advocatícios. Tudo isso porque a empresa não conseguiu proteger seus próprios dados adequadamente. Se não houver um programa de bug bounty claramente definido, se não for a sua própria empresa, ou se você não foi contratado para encontrar falhas, o conselho é não transformar isso em um problema seu.

  • Reação dos especialistas em segurança alemães

    • Alguns profissionais experientes de segurança da informação na Alemanha ficaram tão revoltados com essa situação que se recusam a ajudar órgãos do governo mesmo quando incidentes acontecem. Eles descrevem isso como “aprender pelo sofrimento”.

  • Comparação com a legislação do Reino Unido

    • Não tenho certeza sobre a lei alemã, mas no Reino Unido isso seria claramente considerado uso indevido de computador e tratado como um caso simples.

  • Necessidade de revisão da lei

    • Parece que a lei precisa ser reescrita. A intenção importa, e esse “hacker” não parece ter tentado causar dano. A empresa expôs suas próprias vulnerabilidades e agora quer punir quem as revelou.

  • Caso semelhante

    • É parecido com um caso em que decodificar números de seguridade social codificados em BASE64 foi considerado “hacking”.

  • Caso de uma startup de alimentos na Holanda

    • Enquanto colaboravam com a PostNL, passaram a ter acesso aos dados de outros clientes, mas decidiram não usar isso para evitar responsabilidade legal. A empresa deveria ter reportado isso legalmente, mas não o fez.

  • Atitude geral em relação à segurança

    • Muitos casos de “hacking” são como pessoas que deixam a porta da frente escancarada e vão embora. Se alguém deixa a porta aberta e é roubado, não recebe muita simpatia, mas quando uma empresa negligencia a segurança, a raiva é dirigida aos hackers.

  • Uma situação contrária à regra da boa-fé

    • É uma situação em que, ao encontrar um problema, você não deve dizer nada nem fazer nada. Fico me perguntando se seria legal suspeitar que pode haver um problema, parar por aí e então vender ações da empresa a descoberto.

  • Como agir ao encontrar um problema

    • Mesmo que você encontre um problema, é melhor ignorá-lo. Até avisar que uma senha está visível já é assumir um risco. Usar a senha deve ser evitado mais ainda.

  • Artigo 202a do Código Penal

    • Ele trata de “acessar dados protegidos contra acesso não autorizado por meios especiais”, e uma senha hardcoded no cliente também se enquadra nisso.