데자뷰 현상? 독일 법원은 한 프로그래머를 해킹 혐의로 기소하고 외부 컴퓨터 시스템에 대한 무단 접근과 데이터 스파이 혐의로 그에게 3,000유로의 벌금을 부과했습니다. 헤이즈가 공개한 정보에 따르면 프로그래머는 프리랜서 IT 서비스 제공자(프리랜서)다. 그는 처음에 고객이 사용하는 제품 관리 소프트웨어에서 생성된 로그가 너무 많은 문제를 해결하라는 임무를 받았습니다.
프로그래머는 작업을 받은 후 소프트웨어를 확인한 결과 관리 소프트웨어 제공업체인 Modern Solution GmbH의 원격 서버와 MySQL 연결이 설정되어 있음을 발견했습니다. 그래서 프로그래머는 분석을 위해 원격 데이터베이스에 연결했고 데이터베이스에 거의 700,000명의 Modern Solution 고객에 대한 데이터가 포함되어 있음을 발견했습니다.
소프트웨어 제공업체의 보안 문제를 인지한 후 프로그래머는 데이터베이스와의 연결을 끊고 나중에 다른 채널을 통해 ModernSolution에 연락하여 문제를 보고했습니다.
이러한 이유로 ModernSolution은 통보를 받은 당일 수리를 위해 모든 서버를 즉시 오프라인으로 전환했습니다. 그러나 회사는 자사 시스템에 보안 문제가 있다는 사실을 단호히 부인했고, 이 정직한 프로그래머는 모던솔루션에 보안 문제가 있다는 내용의 공개 정보를 직접 공개했다.
소프트웨어 공급업체는 나중에 프로그래머가 노출된 데이터와 데이터베이스 서버에 무단으로 액세스했다고 주장하면서 경찰에 신고했습니다.
또한 일반 텍스트를 사용하여 비밀번호를 저장하세요.
고소당한 프로그래머의 설명으로 볼 때, 모던솔루션은 매우 취약한 소프트웨어 공급업체입니다. 왜 그런 말을 합니까? 이 회사는 실행 파일에 데이터베이스 연결 비밀번호를 일반 텍스트로 하드 코딩했기 때문입니다.
더욱 무서운 점은 수십만 명의 고객 데이터가 모두 동일한 데이터베이스 서버에 동일한 계좌번호와 비밀번호를 사용하여 저장되어 있으며, 일반 텍스트 비밀번호가 포함된 실행 파일이 고객에게 제공하는 관리 소프트웨어에 포함되어 있다는 것입니다.
즉, 소프트웨어 파일을 분석하기만 하면 비밀번호를 쉽게 얻고 데이터베이스에 연결할 수 있습니다.
법원에서는 3,000유로의 벌금을 부과했습니다.
이 문제와 관련하여 모던솔루션은 순전히 프로그래머가 보안 문제를 폭로했기 때문에 경찰에 신고했다는 사실을 쉽게 알 수 있습니다. 그들은 문제가 있다는 사실을 항상 부인하고 공개적으로 공개될 때까지 처음에는 경찰에 신고할 준비가 되어 있지 않았기 때문입니다.
검찰은 암호로 보호된 데이터에 대한 무단 접근을 형사 범죄로 규정하는 독일 형법 202c항(해킹 조항이라고도 함)에 따라 독일 전통법에 따라 기소했습니다.
이러한 이유로 독일 지방 법원은 프로그래머에게 다른 범죄 기록이 없다는 점을 고려하여 그에게 3,000유로의 벌금을 부과했습니다. 이번 형량은 독일 검찰이 요구한 형량보다 훨씬 낮았다.
항소:
그를 변호하는 변호사들은 그가 공익을 위해 행동했으며 소프트웨어 공급업체에 보안 취약점을 책임감 있게 알렸지만 이 문제에 대한 법원의 견해는 심각하게 시대에 뒤떨어진 것이라고 말했습니다.
결국 데이터에 접근했지만 우연히 발견한 셈이다. 둘째, 공익을 위해 취약점을 공개했다. 셋째, 그는 어떤 자료도 유출하지 않았으므로 어떤 관점에서든 형벌/벌금을 부과해서는 안 됩니다.
프로그래머는 이제 독일 고등지방법원에서 심리를 받게 될 항소를 제출했습니다.