Hendrik H. นักวิจัยได้รับว่าจ้างจากบริษัทแห่งหนึ่งให้เข้าไปแก้ปัญหาซอฟต์แวร์เมื่อปี 2021 และพบโปรแกรม MSConnect.exe ของบริษัท Modern Solution นั้นมีรหัสผ่านฐานข้อมูล MariaDB ฝังอยู่ภายใน และเมื่อล็อกอินเข้าไปก็เห็นข้อมูลของลูกค้าทั้งหมดของ Modern Solution รวมกว่า 700,000 รายการ
Modern Solution ออกประกาศแจ้งเหตุข้อมูลรั่วไหลตั้งแต่ปี 2021 ระบุว่ากระทบเฉพาะผู้ใช้ระบบผ่านลูกค้ารายเดียว แต่หลังจากนั้นตำรวจเยอรมนีก็บุกยึดคอมพิวเตอร์ของ Hendrik เพราะ Modern Solution แจ้งความว่า Hendrikได้รหัสผ่านฐานข้อมูลจากแหล่งข้อมูลภายในพร้อมกับกล่าวหาว่าเขาเป็นคู่แข่งทางธุรกิจ
คดีนี้ตัดสินในศาลชั้นต้นเมื่อกลางปี 2023 ตอนแรกศาลยกฟ้องเพราะระบุว่าการฝังรหัสผ่านไว้ในโปรแกรมนั้นไม่ใช่การป้องกันที่เพียงพอ แต่ระหว่างกระบวนการศาลเขต Aachen สั่งให้พิจารณาใหม่กลายเป็นว่าศาลสั่งให้ Hendrik ต้องจ่ายค่าปรับ 3,000 ยูโรพร้อมกับค่าธรรมเนียมศาล
ตอนนี้คดียังไม่สิ้นสุดเพราะทั่งสองฝ่ายยังมีเวลายื่นอุทธรณ์ แต่การเลือกที่จะฟ้องผู้แจ้งเหตุข้อมูลรั่วไหลเพราะนักพัฒนาเลินเล่อฝังรหัสผ่านฐานข้อมูลไปกับโปรแกรม แถมศาลยังพิจารณาว่าเป็นความผิดก็นับว่าเป็นเรื่องน่าวิตกสำหรับวงการวิจัยความปลอดภัยในเยอรมนี
ที่มา - The Register
ภาพธงเยอรมนีโดย fdecomite
Get latest news from Blognone
Follow @twitterapi
Blognone Jobs Premium
Cloudnone
- NVIDIA จะไปหยุดที่ตรงไหน ทำไมครองโลกดาต้าเซ็นเตอร์ | Cloudnone EP.22
- ถึงคลาวด์เคราะห์: ทำอย่างไรเมื่อบริการคลาวด์ที่ใช้ถูกยกเลิก | Cloudnone EP. 21
- รู้จักอาชีพ Site Reliability Engineer สำคัญยังไง? | Cloudnone EP. 20
- อธิบาย CrowdStrike ทางเทคนิค ทำไมถึงทำพีซีจอฟ้าเป็นล้านๆ เครื่อง | Cloudnone EP.19
- Kubernetes [Part 2] ยี่ห้อไหนดี งานไหนต้องใช้ แล้วเลือกยังไง? | Cloudnone EP.18
Comments
ผมว่ามันงี่เง่าที่จะตัดสินแบบนี้ได้กับคนที่แจ้งปัญหาร้ายแรงแบบนี้แทนที่จะลงโทษบริษัทที่สะเพร่า แล้วบริษัทที่ทำผิดก็มาฟ้องกลับคนแจ้งแบบนี้เนี่ย มันเปิดช่องทางให้อาชญากรใช้เล่นงานคนอื่นด้วยระบบของศาลเสียเองนะ
ความล้มเหลว คือจุดเริ่มต้นสู่ความหายนะ มีผลกระทบมากกว่าแค่เสียเงิน เวลา อนาคต และทรัพยากรที่เสียไป - จงอย่าล้มเหลว
Thailand Only ครับ หมดศรัทธากับความยุติธรรมของประเทศเราไปนานแล้ว สงสัยต้องย้ายไปอยู่เยอรมันแล้วล่ะ
เดี๋ยวก่อนพ่อหนุ่ม
ไปพรุ่งนี้เลยไหมครับ
พี่สองคนด้านบน ผมว่าความเห็นแรกเขาประชดอยู่นะ
อีกสองคนก็เล่นตามอยู่นะฮะ 😂
คงต้องดูประเด็นที่ต่อสู้กัน ว่านักวิจัยที่เข้าไปเช็คแล้วเจอรหัสผ่าน"ดัน"ไปเข้าถึงข้อมูลลูกค้า แล้วได้เอาออกมาไหม? แล้วทำไมถึงได้เข้าไป login นั่งเช็คดูว่ามีข้อมูลลูกค้าตั้ง 7 แสนคน?
คือคงต้องมองว่ามันมีสองเรื่อง
1.บ.แรกเลินเล่อที่วางรหัสผ่านไว้กับโปรแกรม
2.คนที่เข้าไปเจอ และเข้าถึงข้อมูลลูกค้า คือถ้าเจอแล้วแจ้งเจ้าของบ.(ลูกค้า) หรือเจ้าของ software ก็อาจจะถูกต้อง แต่ถ้าเอาข้อมูลลูกค้าออกมาด้วย เพื่อ proof ว่าตัวเองเข้าถึงได้จริงๆ มันก็หมิ่นเหม่ว่าตัวเองใช้ช่องโหว่เพื่อ hack ข้อมูลออกมาโดยไม่รับอนุญาตหรือเปล่า? มั่นใจได้อย่างไรว่าแค่ดูจำนวนข้อมูลเฉยๆ ไม่ได้"เข้าถึง"เพื่อผลประโยชน์บางอย่าง?
บางทีการคิดเข้าข้างตัวเองว่าเป็นสายขาว แต่จริงๆแล้วก็ทำลายคนอื่นไปในตัวด้วยไหม ยิ่งการเข้าไปล้วงดูรายละเอียดโดยไม่ได้รับอนุญาตจากเจ้าของ (ฝั่งลูกค้า/เจ้าของsoftware) ก็อาจเป็นความผิดที่สำเร็จแล้ว
จริงๆถ้าเทียบกับกฎหมายไทย ข้อ2 นี่คนที่เข้าถึงข้อมูลโดยไม่ได้รับอนุญาตนั้นมีความผิดทั้งหมด ไม่ว่าเกิดจากสาเหตุใดๆ(social engineering,เข้าผ่านช่องโหว่ หรือแม้แต่เดาpassword ถูกเอง)