Egy főiskolai hallgatót kicsaptak, miután le próbálta ellenőrizni, hogy egy általa felfedezett (250 ezer tanulót érintő) biztonsági sebezhetőséget a cég tényleg kijavította-e.
Forrás: nationalpost.com
Az engedély nélkül végzett etikus hackelés mindenhol kényes téma. Bár vannak egyes országok, melyek részben, vagy egészében engedélyezik az ilyen jellegű tevékenységet (pl USA-ban a DMCA DMCA PUBLIC LAW 105–304 1205§ f) és i) pontok: Reverese Engineering, és Security Testing & Evaluation), ám a jogosulatlan tesztelés általában a számítógépes bűncselekmények, illetve a hackertevékenység körébe esik.
A címadó bekezdésben is bemutatott ügyben a főiskolai diák egy mobil fejlesztési projekt során bukkant a diákokat nyilvántartó rendszerben (regionálisan használt rendszer, gyakorlatilag a kanadai "Neptun") arra a sebezhetőségre, mely kihasználásával jogosulatlanul hozzá lehetett férni bármely nyilvántartott diák személyes adataihoz (név, lakcím, SSN, gyakorlatilag minden nyilvántartott adathoz). A diák jelentette a hibát az iskola és a rendszert fejlesztő cég felé, mely a hibát rövid időn belül javította. A tanuló azonban a hiba javítása után egy tesztprogram segítségével le kívánta ellenőrizni, hogy a sebezhetőséget javították-e. A tesztelést viszont észlelte az üzemeletető is, aki értesítette az iskolát, valamint jogi lépéseket helyezett kilátásba a diák ellen, amennyiben nem működik vele együtt a továbbiakban - titoktartási vállalás keretei között. A diák együttműködési nyilatkozatot tett.
A cég feltehetően elégedett volt az eredménnyel, ám az iskola másként vélekedett. Az ügyet az iskola vezetése elé vitték és 14:1 arányban a diák eltávolítása mellett szavaztak, a diák meghallgatása nélkül. Mivel a diák személyi lapjára felkerült, hogy fegyelmi okból távolították el, így a kiváló eredményei ellenére is valószínű, hogy sehol sem fogja tudni befejezni a tanulámányait.
Mi a tanulság?
Ne találjunk semmit? Ne jelentsük? Ne ellenőrizzük?
Mindenesetre bármit is teszünk, érdemes engedélyt szerezni, bármilyen - a másik fél által - rosszindulatúnak minősíthető lépés megtétele előtt; még akkor is, ha csak a jószándék is vezérel.
Az etikus hackelés első szabálya:
Csak azt teszteljük, amihez jogunk van.