Un investigador de seguridad en Alemania recibió una multa de 3.000 euros (3.300 dólares, 2.600 libras esterlinas) por encontrar e informar sobre una vulnerabilidad en una base de datos de comercio electrónico que exponía casi 700.000 registros de clientes. En junio de 2021, según nuestros amigos de Heise, un contratista identificado en otro lugar como Hendrik H. estaba solucionando problemas de software para un cliente de la empresa de servicios de TI Modern Solution GmbH. Descubrió que el código de la solución moderna realizaba una conexión MySQL a un servidor de base de datos MariaDB operado por el proveedor. Resultó que la contraseña para acceder a ese servidor remoto estaba almacenada en texto sin formato en el archivo de programa MSConnect.exe, y abrirla en un editor de texto simple revelaría la credencial codificada sin cifrar. Con esa contraseña fácil de encontrar en la mano, cualquiera podría iniciar sesión en el servidor remoto y acceder a los datos que pertenecen no solo a ese cliente de Modern Solution, sino a los datos que pertenecen a todos los clientes del proveedor almacenados en ese servidor de base de datos. Se dice que esa información incluía datos personales de los propios clientes de esos clientes. Y nos dijeron que los archivos de programa de Modern Solution estaban disponibles de forma gratuita en la web, por lo que cualquiera podría inspeccionar los ejecutables en un editor de texto en busca de contraseñas de bases de datos codificadas en texto plano. Los hallazgos del contratista fueron discutidos en un informe del 23 de junio de 2021 de Mark Steier, quien escribe sobre comercio electrónico. Ese mismo día Modern Solution emitió un comunicado [PDF] – traducido del alemán – resumiendo el incidente: La declaración indica que se expusieron datos confidenciales sobre los clientes de Modern Solution: apellidos, nombres, direcciones de correo electrónico, números de teléfono, datos bancarios, contraseñas e historiales de conversaciones y llamadas. Pero afirma que sólo se expuso una cantidad limitada de datos (nombres y direcciones) sobre los compradores que realizaron compras a estos clientes minoristas. Steier sostiene que eso es incorrecto y alegó que Modern Solution minimizó la seriedad de los datos expuestos, que, según dijo, incluían datos extensos de los clientes de las tiendas en línea operadas por los clientes de Modern Solution. En septiembre de 2021, la policía de Alemania confiscó las computadoras del consultor de TI luego de una denuncia de Modern Solution que afirmaba que solo pudo haber obtenido la contraseña a través de conocimiento interno (antes trabajó para una empresa relacionada) y la empresa afirmó que era un competidor. Hendrik H. fue acusado de acceso ilegal a datos según la sección 202a del Código Penal de Alemania, basándose en la regla de que examinar datos protegidos por una contraseña puede clasificarse como un delito según la ley de ciberseguridad de la nación euro. En junio de 2023, un tribunal de distrito de Jülich, en el oeste de Alemania, dio la razón al consultor de TI porque el software Modern Solution no estaba suficientemente protegido. Pero el tribunal regional de Aquisgrán ordenó al tribunal de distrito que examinara la denuncia. Ahora, el tribunal de distrito ha revocado su decisión inicial. El 17 de enero, un tribunal de distrito de Jülich multó a Hendrik H. y le ordenó pagar las costas judiciales. «La orden de penalización es aún más impactante porque es fundamentalmente incorrecta», escribió Steier, el bloguero que ayudó a sacar a la luz la base de datos expuesta, en una publicación el miércoles. «Una contraseña guardada casi en texto plano no constituye una ‘seguridad especial’ requerida por el artículo 202. Es comprensible que un juez no pueda evaluar esto, pero entonces habría sido necesario escuchar a un experto exactamente sobre esto pregunta. Desafortunadamente eso no sucedió.» Según los informes, el veredicto aún no es jurídicamente vinculante, ya que las dos partes tienen una semana para apelar, lo que el consultor informático pretende hacer. En una publicación en Mastodon, Wladimir Palant, investigador de seguridad, desarrollador de software y cofundador de Eyeo, una empresa de filtrado de anuncios con sede en Alemania, expresó su frustración con la decisión del tribunal. «Tengo muchas esperanzas de que haya una sentencia de próxima instancia que anule nuevamente esta decisión», escribió Palant. «Pero es exactamente lo que la gente temía: por muy defectuosa que sea la supuesta ‘protección’, su mera existencia convierte la investigación de seguridad en piratería criminal según la ley alemana. Esto tiene un efecto paralizador en la investigación legítima, permitiendo a las empresas salirse con la suya con una seguridad inadecuada y al final poniendo en peligro a los usuarios.» ®

Source link