Австралийскому исследователю безопасности пришлось пройти допросы полиции и
испытать на себе угрозы со стороны юридической фирмы. Все потому, что он доложил
финансовой компании об уязвимости.
Традиция казнить гонца, принесшего дурную весть, все еще жива. Компания First
State Super, которая, помимо всего прочего занимается пенсиями в штате
Нью-Саут-Уэльс, имела настолько крупную уязвимость на своем сайте, что клиентам
следовало бы разыскать его создателя с вилами и факелами. А теперь компания
хочет наказать исследователя, который указал ей на проблему.
Вся история, о которой сначала написал Патрик Грэй на своем блоге
Risky Business, такова: Патрик
Вэбстер из OSI Security обнаружил ошибку прямой ссылки на объект, когда
просматривал информацию о своем собственном пенсионном счете. ID его аккаунта
передавался прямо в URL, а изменение этого параметра в URL показывало данные
чужого аккаунта.
Вэбстер сообщил об этом компании First State Super и представил им
Bash-скрипт в качестве проверки концепции и, похоже, в этом был его ошибка.
Кто-то в компании закусил удила и не хочет их отпускать.
Сначала, согласно отчету Risky Business, исследователя вызвали полицию и она
допрашивала Вэбстера вечером 12 октября. Потом компания признала ошибку,
исправила ее и уведомила пользователей и дала им информацию относительно того,
как они могут сменить номера своих аккаунтов, если пожелают.
А 14 октября First State Super начала войну против Вэбстера. Компания
приостановила действие его аккаунта на основании нарушения правил и условий
использования сервиса, привлекла адвоката Минтера Элисона чтобы получить доступ
к компьютеру Вэбстера, (чтобы проверить, не получались ли им данные с чужих
аккаунтов) и грозится потребовать от него возмещения ущерба.
В письме компании также говорится о нарушении положений о компьютерном
доступе, содержащихся в Законе о Преступлениях штата и Уголовном Кодексе, хотя
изменение URL вряд ли можно считать "хакерством" или, по крайне мере,
"несанкционированным доступом к компьютеру". В общем ситуация выливается в
настоящее развлечение для способный адвокатов.
Как написал Грей: "Чудовищные нарушения Pillar Administration и компании
First State Super подвергли данные членов пенсионного фонда опасности, а не
действия Вэбстера".
Директор First State Super, Майкл Дуайер, сказал Грею, что угрозы – это "лишь
стандартная процедура… независимо от того, является ли он компьютерным экспертом
или нет", но признал, что тестирование безопасности First State Super "не было
проведено должным образом".