تغريم مستشار تكنولوجيا المعلومات لجرأته على كشف الأمن الرديء

تكلنوجيا

تغريم مستشار تكنولوجيا المعلومات لجرأته على كشف الأمن الرديء


تقارير توماس كلابورن عبر السجل: وكان باحث أمني في ألمانيا تم تغريمه 3300 دولار للعثور على ثغرة أمنية في قاعدة بيانات التجارة الإلكترونية والإبلاغ عنها أدى ذلك إلى الكشف عن ما يقرب من 700000 سجل عميل. مرة أخرى في يونيو 2021، وفقًا لأصدقائنا في هيز، وهو مقاول تم تحديده في مكان آخر باسم Hendrik H.، وكان يقوم باستكشاف أخطاء البرامج وإصلاحها لصالح أحد عملاء شركة خدمات تكنولوجيا المعلومات Modern Solution GmbH. اكتشف أن كود الحل الحديث أجرى اتصال MySQL بخادم قاعدة بيانات MariaDB الذي يديره البائع. اتضح أن كلمة المرور للوصول إلى هذا الخادم البعيد تم تخزينها في نص عادي في ملف البرنامج MSConnect.exe، وفتحه في محرر نص بسيط من شأنه أن يكشف عن بيانات الاعتماد غير المشفرة.

باستخدام كلمة المرور التي يسهل العثور عليها في متناول اليد، يمكن لأي شخص تسجيل الدخول إلى الخادم البعيد والوصول إلى البيانات التي لا تخص عميلًا واحدًا من عملاء Modern Solution فحسب، بل أيضًا البيانات التي تخص جميع عملاء البائع المخزنة على خادم قاعدة البيانات هذا. ويقال إن هذه المعلومات تضمنت تفاصيل شخصية لعملاء هؤلاء العملاء. وقد قيل لنا أن ملفات برنامج Modern Solution متاحة مجانًا على الويب، لذلك يمكن لأي شخص حقًا فحص الملفات التنفيذية في محرر النصوص بحثًا عن كلمات مرور قاعدة البيانات المشفرة بالنص العادي. تمت مناقشة النتائج التي توصل إليها المقاول في 23 يونيو 2021 تقرير بقلم مارك ستاير، الذي يكتب عن التجارة الإلكترونية. في نفس اليوم صدر الحل الحديث تصريح [PDF] -مترجم من الألمانية-تلخيص الحادثة […]. يشير البيان إلى أنه تم الكشف عن بيانات حساسة حول عملاء Modern Solution: الأسماء الأخيرة، والأسماء الأولى، وعناوين البريد الإلكتروني، وأرقام الهواتف، والتفاصيل المصرفية، وكلمات المرور، وتاريخ المحادثات والمكالمات. لكنها تدعي أنه تم الكشف عن كمية محدودة فقط من البيانات – الأسماء والعناوين – حول المتسوقين الذين قاموا بالشراء من عملاء التجزئة هؤلاء. يؤكد Steier أن هذا غير صحيح ويزعم أن Modern Solution قللت من خطورة البيانات المكشوفة، والتي قال إنها تتضمن بيانات واسعة النطاق للعملاء من المتاجر عبر الإنترنت التي يديرها عملاء Modern Solution.

في سبتمبر 2021، صادرت الشرطة في ألمانيا أجهزة الكمبيوتر الخاصة بمستشار تكنولوجيا المعلومات بعد شكوى من Modern Solution تدعي أنه لم يكن بإمكانه الحصول على كلمة المرور إلا من خلال معرفة داخلية – كان يعمل سابقًا في شركة ذات صلة – وادعى العمل أنه منافس. تم اتهام H. بالوصول غير القانوني إلى البيانات بموجب القسم 202أ من القانون الجنائي الألماني، استنادًا إلى القاعدة التي تنص على أن فحص البيانات المحمية بكلمة مرور يمكن تصنيفها كجريمة بموجب قانون الأمن السيبراني في الدولة الأوروبية. في يونيو 2023، وقفت محكمة مقاطعة جوليتش ​​في غرب ألمانيا إلى جانب مستشار تكنولوجيا المعلومات لأن برنامج Modern Solution لم يكن محميًا بشكل كافٍ. لكن محكمة آخن الإقليمية أمرت المحكمة المحلية بالنظر في الشكوى. والآن، ألغت محكمة المقاطعة قرارها الأولي. في 17 يناير/كانون الثاني، فرضت محكمة مقاطعة جوليش غرامة على هندريك هـ. وأمرته بدفع تكاليف المحكمة.



Source link

Back To Top