Нередко исследователи в области информационной безопасности получают за свою работу не вознаграждение, а повестку в суд. 36-летнему Джастину Шаферу (Justin Shafer) повезло еще меньше: после того как он сообщил о проблеме на сервере компании, обслуживающей стоматологические клиники, ранним утром к нему домой нагрянули больше десятка вооруженных агентов ФБР.

Еще в феврале 2016 года Шафер обнаружил, что ПО компании Patterson Dental — Eaglesoft, созданное специально для стоматологических клиник, небезопасно. В софте обнаружились жестко закодированные пароли, одинаковые для всех установок. Фактически Eaglesoft хранила личные данные пациентов на ничем не защищенных FTP-серверах, информация была доступна любому желающему.

Шафер связался с DataBreaches.net и попросил их уведомить Patterson Dental о проблеме. Вскоре компания устранила обнаруженные недочеты, и в середине февраля 2016 года Шафнер обнародовал информацию о найденных багах. Сообщалось, что на FTP-сервере хранились данные 22 000 пациентов. Чуть позже, в марте 2016 года, американский CERT тоже опубликовал информацию о проблемах в Eaglesoft, пояснив, что дело было в жестко закодированных учетных данных.

PattersonFTP_Dir_Cache
На скриншоте видно, что некоторые данные относились к 2009 году

Однако благодарности за проделанную работу Шафер не дождался. Вместо этого представители Patterson Digital  подали на него жалобу, заявив правоохранительным органам, что исследователь их взломал и получил неавторизованный доступ к данным.

В минувший вторник, 24 мая 2016 года, Шафер, его жена и трое детей проснулись в 6:30 утра, — кто-то настойчиво звонил и стучал в дверь их дома.

«Сначала я решил, что мой отец умер», — рассказал исследователь журналистам Daily Dot  по телефону. — «Но потом я подошел к двери и увидел отблески синих и красных мигалок».

Когда Шафер открыл дверь, оказалось, что его ждут более десятка агентов ФБР, один из которых, по словам Шафера, «целился [в него] из огромной штурмовой винтовки, хотя детская кроватка стояла менее чем в полуметре от двери». Исследователя в одних трусах вывели на улицу, заковали в наручники, на глазах у рыдающих от страха детей, а в доме произвели  тщательный обыск. Исследователь рассказывает, что было изъято 29 разных единиц техники и даже подборка журналов Dentrix. Фактически агенты ФБР не стали забирать только телефон жены Шафера.

Исследователь до глубины души возмущен случившимся и убежден, что представители Patterson Dental действовали неправильно:

«Я считаю, что это было трусливо, поступать так с моей семьей. Я считаю, что они должны поблагодарить меня, а также должны извиниться перед пациентами и компаниями. А еще я считаю, что на них должны наложить огромный штраф за что, что они годами хранили данные пациентов на анонимном FTP-сервере».



2 комментария

  1. mycybersec

    31.05.2016 at 09:56

    Чем закончилась то история? Извинились, отпустили? Или закрыли на пока?

Оставить мнение