Сообщение о незащищенном FTP-сервере с данными 22 тыс. человек обернулось для ИБ-эксперта обыском дома

image

Теги: ФБР, обыск, США, уязвимость

Сообщившему о незащищенном сервере исследователю грозит наказание за нарушение закона.

В то время, как одни исследователи получают вознаграждение за обнаруженные уязвимости, к другим с обыском наведывается ФБР. Десяток агентов нагрянули к исследователю безопасности Джастину Шаферу (Justin Shafer) после того, как он сообщил об уязвимости в программном обеспечении для управления врачебной практикой Eaglesoft его производителю, американской компании Patterson Dental.

В феврале нынешнего года во время поиска баз данных с неизменяемыми учетными данными Шафер обнаружил анонимный FTP-сервер, получить доступ к которому мог любой желающий. На незащищенном сервере хранилась информация 22 тыс. пациентов стоматологических клиник, сообщает The Daily Dot.

Добросовестный исследователь сообщил о находке производителю и Компьютерной группе реагирования на чрезвычайные ситуации (CERT). Однако за свой поступок он не только не удостоился какого-либо вознаграждения или хотя бы благодарности, но подвергся обыску, и теперь ему грозит наказание за нарушение закона США «О компьютерном мошенничестве» (U.S. Computer Fraud and Abuse Act).

В ходе обыска агенты изъяли компьютер Шафера и другие электронные устройств (в общей сложности 29 наименований). «Они забрали даже мои журналы Dentrix. Единственное, что они не тронули – это телефон моей жены», - сообщил исследователь.

Как пояснили сотрудники ФБР, преступление Шафера заключалось в получении несанкционированного доступа к принадлежащему компании Patterson Dental FTP-серверу, что является нарушением закона США «О компьютерном мошенничестве».

Напомним , на прошлой неделе стало известно о студенте Мариборского университета (Словения), приговоренному к 15 месяцев условного заключения за сообщение об уязвимости в правительственной системе связи. По словам представителей правоохранительных органов, 26-летний Деян Орниг (Dejan Ornig) не имел права тестировать безопасность системы, не имея соответствующего разрешения.    

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.