Болгарский ИБ-эксперт арестован за демонстрацию уязвимости в ПО для детских садов

Болгарская полиция арестовала ИБ-эксперта Петко Петрова (Petko Petrov) за обнародование процесса эксплуатации уязвимости в программном обеспечении, используемом местными детскими садами. С помощью уязвимости исследователю удалось загрузить данные о более 236 тыс. жителей болгарского города Стара-Загора.

Видео с демонстрацией уязвимости эксперт опубликовал в Facebook на прошлой неделе. В ролике показано, как Петков запустил автоматизированную атаку на муниципальный web-портал, где родители могут записать своих детей в садик, и, воспользовавшись уязвимостью, загрузил данные граждан. В описании к видео эксперт отметил, что пытался связаться с производителем ПО и местными властями, однако его сообщение осталось проигнорированным.

Петков также добавил ссылку на GitHub-репозиторий с PoC-кодом, который мог загрузить любой желающий.

Специалист был арестован в пятницу, 28 июня, но спустя 24 часа выпущен на свободу. Сейчас власти рассматривают возможность предъявления эксперту обвинения в получении государственной информации незаконными способами. В случае возбуждения уголовного дела и признания Петкова виновным ему грозит тюремное заключение сроком от 1 до 3 лет и штраф в размере до 5 тыс. болгарских левов (примерно 184 тыс. рублей).

В настоящее время уязвимое программное обеспечение производства компании Information Services AD уже удалено с муниципального сайта.