Een geval van déjà vu? Een Duitse rechtbank beschuldigde een programmeur van hacken en legde hem een boete van 3.000 euro op wegens ongeoorloofde toegang tot externe computersystemen en dataspionage. Volgens door Heise vrijgegeven informatie is de programmeur een freelance IT-dienstverlener (freelancer). Aanvankelijk kreeg hij van een klant de opdracht om het probleem op te lossen van te veel logbestanden die werden gegenereerd door de productbeheersoftware die door de klant werd gebruikt.
Nadat hij de taak had ontvangen, controleerde de programmeur de software en ontdekte dat deze een MySQL-verbinding tot stand had gebracht met de externe server van Modern Solution GmbH, een leverancier van beheersoftware. Dus maakte de programmeur verbinding met de externe database voor analyse en ontdekte dat de database gegevens bevatte over bijna 700.000 Modern Solution-klanten.
Nadat de programmeur zich bewust werd van een beveiligingsprobleem bij de softwareleverancier, verbrak hij de verbinding met de database en nam later via andere kanalen contact op met ModernSolution om het probleem te melden.
Om deze reden heeft ModernSolution op de dag dat dit werd gemeld, alle servers onmiddellijk offline gehaald voor reparatie. Het bedrijf ontkende echter resoluut dat er beveiligingsproblemen waren in zijn systeem, en deze oprechte programmeur gaf direct openbare informatie vrij waarin hij zei dat ModernSolution beveiligingsproblemen had.
De softwareleverancier belde later de politie en beweerde dat de programmeur ongeautoriseerde toegang had tot de blootgestelde gegevens en de databaseserver.
Gebruik ook duidelijke tekst om het wachtwoord op te slaan:
Afgaande op de omschrijving van de aangeklaagde programmeur is Modern Solution een zeer zwakke softwareleverancier. Waarom zeg je dat? Omdat dit bedrijf het databaseverbindingswachtwoord in leesbare tekst in een uitvoerbaar bestand heeft vastgelegd.
Wat nog beangstigender is, is dat de gegevens van honderdduizenden van hun klanten allemaal op dezelfde databaseserver zijn opgeslagen, met hetzelfde accountnummer en hetzelfde wachtwoord, en dat dit uitvoerbare bestand met het leesbare wachtwoord is opgenomen in de beheersoftware die zij aan klanten leveren.
Met andere woorden: zolang de bestanden van de software worden geanalyseerd, is het eenvoudig om het wachtwoord te verkrijgen en verbinding te maken met hun database.
Boete van 3.000 euro door de rechtbank:
Wat deze kwestie betreft, is het gemakkelijk in te zien dat ModernSolution de politie heeft gebeld puur en alleen omdat de programmeur zijn beveiligingsprobleem openbaar had gemaakt, omdat ze altijd hebben ontkend dat er een probleem was en niet bereid waren om eerst de politie te bellen totdat het publiekelijk bekend werd gemaakt.
De aanklagers vervolgden in overeenstemming met de traditionele Duitse wet, namelijk artikel 202c van het Duitse Wetboek van Strafrecht, ook wel bekend als de hackclausule, die ongeoorloofde toegang tot met een wachtwoord beveiligde gegevens strafbaar stelt.
Om deze reden hield de Duitse rechtbank er rekening mee dat de programmeur geen ander eerder strafblad had en legde hem daarom een boete op van 3.000 euro. Deze straf was veel lager dan de straf die door de Duitse aanklagers was geëist.
hoger beroep:
Advocaten die hem vertegenwoordigen, zeiden dat hij in het algemeen belang handelde en de softwareleverancier op verantwoorde wijze op de hoogte bracht van het beveiligingsprobleem, maar zeiden dat het standpunt van de rechtbank over de zaak ernstig achterhaald was.
Hoewel hij toegang had tot de gegevens, ontdekte hij deze immers per ongeluk. Ten tweede maakte hij de kwetsbaarheid voor het algemeen belang bekend. Ten derde heeft hij geen gegevens gelekt, dus hij mag vanuit geen enkel perspectief worden veroordeeld/boete.
De programmeur heeft nu beroep aangetekend, dat zal worden behandeld door het Duitse Hooggerechtshof.