因報(bào)告密碼漏洞，一德國(guó)程序員被判“黑客罪行”罰款 3000 歐元

IT之家 1 月 23 日消息，據(jù)安全平臺(tái) wortfilter 新聞稿，一名名為 Hendrik H. 的研究人員發(fā)現(xiàn) IT 服務(wù)公司 Modern Solution GmbH 的服務(wù)器存在密碼漏洞，該研究人員向該公司上報(bào)漏洞后未獲回應(yīng)便在 wortfilter 平臺(tái)中公開披露了漏洞。

隨即 Modern Solution GmbH 修復(fù)了漏洞，并援引《德國(guó)刑法典》202a“黑客條款”，將該研究人員以“未經(jīng)授權(quán)訪問(wèn)第三方計(jì)算機(jī)系統(tǒng)”為由告上法庭，之后法院判處該研究人員應(yīng)支付 3000 歐元（IT之家備注：當(dāng)前約 23490 元人民幣）罰款，同時(shí)將承擔(dān)所有的訴訟費(fèi)用。

IT之家從新聞稿中得知，這位名為 Hendrik H. 的研究人員在 2021 年 6 月發(fā)現(xiàn) Modern Solution GmbH 公司僅僅使用 MySQL 連接至一臺(tái) MariaDB 數(shù)據(jù)庫(kù)服務(wù)器來(lái)存儲(chǔ)內(nèi)部機(jī)密數(shù)據(jù)，訪問(wèn)遠(yuǎn)程服務(wù)器的密碼則以純文本形式存儲(chǔ)在程序文件 MSConnect.exe 中，任何人使用簡(jiǎn)單的文本編輯器就能打開該文件查看內(nèi)容，并找到未加密的硬編碼密碼。

在發(fā)現(xiàn)這一漏洞后，Hendrik H. 將相關(guān)內(nèi)容上報(bào)給公司，但并未獲得回應(yīng)。此后 Hendrik H.攜同一名技術(shù)博客作者 Mark Steier，將相關(guān)漏洞公開披露在 wortfilter 平臺(tái)中，隨即 Modern Solution GmbH 迅速修復(fù)了漏洞，并報(bào)警追究 Hendrik H. 的責(zé)任。

2021 年 9 月，德國(guó)警方扣押了 Hendrik H. 的電腦，因?yàn)?nbsp;Modern Solution 指控他“通過(guò)內(nèi)部信息”獲得的密碼，并聲稱他是競(jìng)爭(zhēng)對(duì)手。

2023 年 6 月，德國(guó)于利希地方法院以 Modern Solution 軟件保護(hù)不力為由，支持了 Hendrik H 的訴訟請(qǐng)求。但亞琛地區(qū)法院指令于利希地方法院再次審理此案，原先的裁定被推翻。

2024 年 1 月 17 日，于利希地方法院最終宣判 Hendrik H. 應(yīng)支付罰款及訴訟費(fèi)用。

不過(guò)相關(guān)判決目前尚未具有法律約束力。被告的辯護(hù)律師辯稱，即使法院判定他有罪，他的當(dāng)事人的行為也是為了公眾利益。而 Hendrik H.也于 1 月 19 日宣布正對(duì)判決提出上訴。

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。