นักพัฒนาชาวเยอรมนีที่เปิดโปงข้อมูลรับรองที่ฮาร์ดโค้ดไว้ในแอป ถูกตัดสินว่ามีความผิดฐาน 'แฮ็ก'

 (infosec.exchange)
1 คะแนน โดย GN⁺ 2024-01-20 | 1 ความคิดเห็น | แชร์ทาง WhatsApp

กฎหมายเยอรมนีทำให้งานวิจัยด้านความปลอดภัยกลายเป็นเรื่องเสี่ยง

  • ศาลเยอรมนีตัดสินให้นักพัฒนารายหนึ่งมีความผิดฐาน 'แฮ็ก'
  • นักพัฒนาคนดังกล่าวได้รับมอบหมายให้ตรวจสอบซอฟต์แวร์ที่สร้างข้อความล็อกมากเกินไป และพบว่าซอฟต์แวร์นั้นกำลังเชื่อมต่อ MySQL ไปยังเซิร์ฟเวอร์ฐานข้อมูลของผู้ขาย
  • เมื่อตรวจสอบการเชื่อมต่อ MySQL ก็พบว่าฐานข้อมูลนั้นมีข้อมูลไม่เพียงของลูกค้ารายนั้นเท่านั้น แต่รวมถึงข้อมูลของลูกค้าทั้งหมดของผู้ขายด้วย เขาแจ้งผู้ขายทันที แต่ผู้ขายกลับทั้งแก้ไขช่องโหว่และยื่นฟ้องเขาไปพร้อมกัน

คำตัดสินของศาล

  • ในชั้นศาลมีการถกเถียงกันมากว่าข้อมูลรับรองฐานข้อมูลที่ฮาร์ดโค้ดไว้ในแอปพลิเคชัน (ดูเหมือนเป็นข้อความธรรมดา และไม่ต้องถึงขั้นดีคอมไพล์ด้วยซ้ำ) เพียงพอจะถือเป็นมาตรการป้องกันที่รองรับข้อกล่าวหาเรื่องการแฮ็กหรือไม่
  • คำตัดสินของศาลระบุว่า เนื่องจากมีรหัสผ่านอยู่ จึงถือว่ามีกลไกป้องกันที่ถูกเลี่ยงผ่าน และนั่นเข้าข่ายการแฮ็ก
  • คำตัดสินครั้งนี้ส่งผลให้ แม้จะเป็น 'การป้องกัน' ที่มีข้อบกพร่องเพียงใด การมีอยู่ของมันเพียงอย่างเดียวก็อาจทำให้งานวิจัยด้านความปลอดภัยกลายเป็นการแฮ็กที่เป็นความผิดทางอาญาภายใต้กฎหมายเยอรมนี

ปฏิกิริยาจากชุมชน

  • ในชุมชนมีการแสดงความคิดเห็นต่อกรณีนี้ผ่านการเปรียบเปรยหลากหลายแบบ
  • บางส่วนมองว่าการใช้ข้อมูลรับรองที่ฮาร์ดโค้ดไว้อาจนับเป็นการแฮ็กได้ แต่ก็ควรพิจารณาเจตนาและความเสียหายที่เกิดขึ้นด้วย
  • อีกฝ่ายชี้ว่าซอฟต์แวร์ของผู้ขายกำลังเรียกใช้โครงสร้างพื้นฐานภายนอกที่ไม่มีการจัดทำเอกสาร และอาจกำลังแชร์ข้อมูลที่มีความอ่อนไหว
  • นอกจากนี้ยังมีการกล่าวถึงความจำเป็นของผู้ตรวจสอบอิสระที่ควรได้รับความคุ้มครองทางกฎหมาย และปัญหาเมื่อสิ่งนั้นไม่สามารถเกิดขึ้นได้จริง

ความเห็นของ GN⁺

  • กรณีนี้แสดงให้เห็นว่าการค้นพบและรายงานช่องโหว่โดยนักวิจัยด้านความปลอดภัยอาจมาพร้อมความเสี่ยงทางกฎหมาย
  • คำตัดสินของศาลตอกย้ำความตึงเครียดระหว่างงานวิจัยด้านความปลอดภัยกับการเปิดเผยอย่างรับผิดชอบ และจุดประเด็นสำคัญว่ากรอบกฎหมายควรประสานกับความก้าวหน้าทางเทคโนโลยีอย่างไร
  • ยังชี้ให้เห็นด้วยว่าคำตัดสินเช่นนี้อาจสร้างผลเชิงยับยั้งต่อนักวิจัยด้านความปลอดภัย เปิดทางให้บริษัทที่ใช้มาตรการความปลอดภัยที่ไม่เหมาะสมหลีกเลี่ยงปัญหาได้ และท้ายที่สุดอาจทำให้ผู้ใช้ตกอยู่ในความเสี่ยง

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2024-01-20
ความคิดเห็นจาก Hacker News

  • พาดหัวทำให้สับสนและดูคล้ายคลิกเบต

    • พาดหัวของบทความชวนสับสนและเกือบจะเป็นคลิกเบต จริง ๆ แล้วปัญหาไม่ใช่การเปิดเผยข้อมูลรับรองของฐานข้อมูล แต่เป็นการใช้มันล็อกอินเข้าเซิร์ฟเวอร์ฐานข้อมูลของบุคคลที่สาม นี่เป็นปัญหาใหญ่เพราะบทบัญญัติประมวลกฎหมายอาญา StGB 202 ff. ทำให้งานวิจัยด้านความปลอดภัยในเยอรมนีแทบทำไม่ได้ในทางปฏิบัติ

  • ปัญหางานวิจัยด้านความปลอดภัยในเยอรมนี

    • ในเยอรมนีแทบไม่มีวิศวกรรุ่นใหม่ที่สนใจด้านความปลอดภัยมาเกือบ 20 ปีแล้ว และคนที่ได้รับการฝึกฝนก็มีน้อย บริษัทใหญ่ดูดคนเก่งไปหมด และคนที่เก่งที่สุดก็ย้ายไปต่างประเทศ ผลก็คือบริษัทขนาดกลางและขนาดย่อมของเยอรมนีส่วนใหญ่ถูกแฮ็กทุกวัน และเพราะไม่มีใครตรวจสอบ ทุกอย่างที่เชื่อมต่อกับเครือข่ายจึงกลายเป็นความเสี่ยงด้านความปลอดภัย

  • คำแนะนำทางกฎหมาย

    • การคาดหวังว่าศาลชั้นสูงจะยกฟ้องคดีนี้เป็นความคิดที่ไร้เดียงสามาก จำเลยจะต้องเสียเวลาหลายปีผ่านกระบวนการศาลหลายชั้น และจะเสียค่าใช้จ่ายทนายความราว 100,000 ยูโร ทั้งหมดนี้เกิดขึ้นเพราะบริษัทปกป้องข้อมูลของตัวเองได้ไม่ดีพอ หากไม่มีโครงการ bug bounty ที่ชัดเจน หรือไม่ใช่บริษัทของคุณเอง หรือคุณไม่ได้ถูกจ้างให้หาช่องโหว่ ก็ขอแนะนำว่าอย่ารับปัญหานี้มาเป็นเรื่องของตัวเอง

  • ปฏิกิริยาของผู้เชี่ยวชาญด้านความปลอดภัยในเยอรมนี

    • ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยสารสนเทศชาวเยอรมันที่มีประสบการณ์บางคนโกรธกับสถานการณ์นี้มาก จนปฏิเสธที่จะช่วยหน่วยงานรัฐแม้เมื่อเกิดเหตุการณ์ขึ้น พวกเขาอธิบายสถานการณ์นี้ว่าเป็น "การเรียนรู้ผ่านความเจ็บปวด"

  • เปรียบเทียบกับกฎหมายของสหราชอาณาจักร

    • ไม่แน่ใจนักเกี่ยวกับกฎหมายเยอรมนี แต่ในสหราชอาณาจักร เรื่องนี้จะถูกมองว่าเป็นการใช้คอมพิวเตอร์โดยมิชอบอย่างชัดเจน และเป็นคดีที่ตรงไปตรงมา

  • ความจำเป็นในการแก้ไขกฎหมาย

    • ดูเหมือนว่ากฎหมายจำเป็นต้องถูกเขียนใหม่ เจตนามีความสำคัญ และ 'แฮ็กเกอร์' คนนี้ดูเหมือนไม่ได้ตั้งใจจะก่อความเสียหาย บริษัทเปิดเผยช่องโหว่ของตัวเอง แล้วพยายามลงโทษคนที่เปิดโปงมัน

  • กรณีคล้ายกัน

    • คล้ายกับกรณีที่การถอดรหัสหมายเลขประกันสังคมซึ่งถูกเข้ารหัสด้วย BASE64 ถูกมองว่าเป็น 'การแฮ็ก'

  • กรณีสตาร์ทอัพอาหารในเนเธอร์แลนด์

    • ระหว่างทำงานร่วมกับ PostNL กลับพบว่าสามารถเข้าถึงข้อมูลของลูกค้ารายอื่นได้ แต่ตัดสินใจว่าจะไม่ใช้งานมันเพื่อหลีกเลี่ยงความรับผิดทางกฎหมาย บริษัทควรรายงานเรื่องนี้ตามกฎหมาย แต่ก็ไม่ได้ทำ

  • ทัศนคติทั่วไปต่อความปลอดภัย

    • กรณี 'การแฮ็ก' จำนวนมากก็เหมือนคนเปิดประตูหน้าทิ้งไว้กว้าง ๆ แล้วปล่อยไว้ หากเปิดประตูทิ้งไว้แล้วถูกขโมยจะไม่ค่อยได้รับความเห็นใจ แต่เมื่อบริษัทละเลยความปลอดภัย ผู้คนกลับโกรธแฮ็กเกอร์

  • สถานการณ์ที่ขัดกับหลักสุจริตใจ

    • หากพบปัญหา สถานการณ์กลับกลายเป็นว่าคุณไม่ควรพูดอะไรและไม่ควรทำอะไรเลย น่าสงสัยว่าถ้าคิดว่าอาจมีปัญหาแล้วหยุดไว้ จากนั้นชอร์ตหุ้นของบริษัท จะถือว่าถูกกฎหมายหรือไม่

  • วิธีรับมือเมื่อพบปัญหา

    • แม้จะพบปัญหา ก็ยังดีกว่าที่จะเพิกเฉยมันไป แม้แต่การบอกว่ามองเห็นรหัสผ่านก็ยังเป็นการรับความเสี่ยง การนำรหัสผ่านไปใช้ยิ่งควรหลีกเลี่ยงมากกว่าเดิม

  • ประมวลกฎหมายอาญามาตรา 202a

    • กล่าวถึง 'การเข้าถึงข้อมูลที่ได้รับการปกป้องจากการเข้าถึงโดยไม่ได้รับอนุญาตด้วยวิธีการพิเศษ' และรหัสผ่านที่ฮาร์ดโค้ดไว้ในไคลเอนต์ก็เข้าข่ายนี้ด้วย