Modern Çözüm: Savcılık BT uzmanlarına yönelik suçlamalarda başarısız oldu
Jülich bölge mahkemesi, 2021 yılında Modern Solution şirketinin yazılımında güvenlik açığı ortaya çıkaran bilişim uzmanı hakkında Köln Cumhuriyet Başsavcılığı’nın talep ettiği davayı reddetti. güvenlik uzmanının soruşturması sırasında erişebildiği bilgi, etkili bir şekilde korunmamıştır. O sırada Modern Solution, güvenlik açığını ortaya çıkardığı için programcıya teşekkür etmek yerine onu bildirdi. Çeşitli çevrimiçi mağazaların 700.000’den fazla son müşterisinin verileri, yazılımın beceriksizce korunması nedeniyle herkesin erişimine açıldı. Köln savcılığı, Jülich’in kararına Aachen bölge mahkemesinde itiraz etti.
Ne oldu?
Yaklaşık iki yıl önce bir güvenlik araştırmacısı, Ruhr bölgesindeki Alman Gladbeck Modern Solution firmasının yazılımında bir güvenlik açığı keşfetti. Bir müşteri için sorun giderirken, güvenlik araştırmacısı yazılımın müşteri verilerini bir SQL bağlantısıyla İnternet üzerinden düz metin olarak ilettiğini tespit etti. BT uzmanı, yazılımın bazı bölümlerini kaynak koda dönüştürdükten sonra, bu güvenli olmayan SQL bağlantısı için erişim verilerinin kaynak kodunda yerleşik olduğunu ve bu nedenle şirketin sunucularında daha fazla veri görüntüleyebildiğini gördü. Modern Solution’ın yazılımı, kendi müşterilerinin ticari mal yönetim sistemlerini Otto, Kaufland ve Check24 gibi çevrimiçi pazarlardan alınan yazılımlarla birleştirir. Güvenlik açığının bir sonucu olarak, bu çevrimiçi mağazalardan 700.000’den fazla alıcının, yani nihai müşterinin verileri görünür durumdaydı.
Güvenlik araştırmacısı, Modern Solution şirketiyle iletişime geçti ve onları güvenlik açığının varlığından haberdar etti. Her iki taraf arasındaki beceriksiz iletişimin ardından, güvenlik araştırmacısı ve e-ticaret blog yazarı Mark Steier aynı gün güvenlik açığının ayrıntılarını yayınladı. Modern Solution, programcıya teşekkür etmek ve hatta onu bir hata ödülü ile ödüllendirmek yerine, güvenlik uzmanına karşı şikayette bulundu. Köln’deki savcılık daha sonra onu verileri gözetlemek, çalıntı verileri almak ve Federal Veri Koruma Yasasını ihlal etmekten soruşturdu. Bu soruşturmalar sonunda, Jülich’teki bölge mahkemesi nezdinde verilerin casusluk yapılması nedeniyle cezai kovuşturma başvurusuyla sonuçlandı; sözde “hacker paragrafı” 202a StGB’nin bir uygulaması.
Ayrıca, 15 Eylül 2021’de yapılan bir ev aramasında, serbest çalışan programcının tüm iş ekipmanına – bir PC, beş dizüstü bilgisayar, bir cep telefonu ve beş harici depolama ortamı – el konuldu. Böyle bir müsadere, bir serbest çalışan için potansiyel olarak yaşamı tehdit eden bir süreci temsil edebilir. Etkilenen BT uzmanı, Haberler online’a Modern Solution’ın, şirket için utanç verici olan güvenlik açığının ayrıntılarını yayınladığı için intikam aldığını bildirdiğini söyledi.
Etkili destek yok, suç yok
Jülich bölge mahkemesinin 10 Mayıs 2023’te Haberler’de çevrimiçi olarak erişilebilen bir kararına göre, güvenlik araştırmacısı aleyhindeki ceza davası artık yasal gerekçelerle reddedildi. Mahkeme, güvenlik araştırmacısı tarafından erişilen veriler yeterince güvence altına alınmadığı için suç teşkil etmediğini varsayar. “Yalnızca yetkisiz erişime karşı özel olarak korunan veriler, ceza gerektiren suçun koruma kapsamına tabidir. Bu, nesnel olarak uygun önlemlerin alındığını varsayar. […] verilere erişimin engellenmesi” diyor mahkeme kararı. “Mahkeme, Cumhuriyet savcılığını takip etmiyor, buna göre şifre koruması bu şekilde yeterli. Parola, örneğin çok basitse veya belirli uygulamalar için standart bir şekilde kullanılıyorsa, her zaman etkin veri güvenliği sağlamaz. Bu gibi durumlarda, verilere erişim sağlamak bir gerçek değildir.”
Haberler online, Modern Solution yazılımı üzerinde yaptığı kendi araştırmaları sayesinde, yazılımın aslında kalıcı olarak yüklenmiş bir standart parola içerdiğini doğrulayabildi. Böylece, şirketin web sitesinden ücretsiz olarak indirilebilen bu yazılımı inceleyen herhangi biri, Modern Solution sunucularındaki verilere erişebilecekti. İlgili uygulama dosyasını kaynak koda dönüştürmek ve şifreyi bulmak roket bilimi değildir. Bunun için gerekli talimatlar ve yazılım, arama motorunu kullanabilen herkes tarafından kullanılabilir. İlgili bilgi ve gerekli yazılım, her güvenlik araştırmacısının standart araçlarının bir parçasıdır. Bu yazılımın beceriksiz parola koruması, gerçekten kötü niyetli bir bilgisayar korsanını zaten uzun süre durduramazdı.
Şimdi bölge mahkemesi karar vermeli
Güvenlik araştırmacısı ve onu bilgilendiren blog yazarı, o sırada güvenlik açığını çok hızlı bir şekilde yayınlasa da, yine de Sorumlu İfşa olarak bilinen temel kuralları izleyen bir süreçti çünkü güvenlik açığı, kamuoyunun bilgilendirildiği sıradaydı. . çoktan kapanmış. Şirkete açıklama ile yayınlama arasında daha fazla süre verilebilirdi. Deneyimli gazeteciler ve güvenlik araştırmacıları da kesinlikle aynısını yapardı. Modern Solution’ın güvenlik araştırmacısına ve basına – Haberler online dahil – e-postalarından çıkan kaba üsluptan yola çıkarak, hikayenin o zamanlar farklı geliştiği de anlaşılabilir. Etkilenen 700.000’den fazla son müşteriyle, davaya halkın ilgisi de oldukça açıktı.
Yaklaşık bir buçuk yıl sonra, BT uzmanı nihayet Jülich Bölge Mahkemesinin kararı kapsamında el konulan cihazları geri aldı. Ancak Köln savcılığı, Jülich bölge mahkemesinin kararına itiraz etti. Bu başvuru şu anda bir sonraki yüksek derece olan Aachen Bölge Mahkemesi tarafından karara bağlanmaktadır. Köln’deki savcılık bu süreçle ilgili herhangi bir bilgi vermek istemedi, ancak güvenlik araştırmacısına karşı bu sürece ek olarak devam eden başka bir ceza davası olmadığını _Haberler online_ olarak doğruladı. Aachen Bölge Mahkemesi, devam eden şikayet usulü hakkında ancak müzakere edildikten sonra savcılığa bilgi verecektir. Haberler online diğer gelişmeler hakkında rapor verecektir.
(aks)
Haberin Sonu