IT-консультанта оштрафовали на €3 000 за помощь в обнаружении и сообщении владельцу интернет-магазина об уязвимости базы данных на 700 000 клиентов

Пост опубликован в блогах iXBT.com, его автор не имеет отношения к редакции iXBT.com

Летом 2021 года над базой данных MySQL интернет-магазина работал IT-специалист, который и обнаружил проблему с доступом к серверу. Пароль доступа размещался в свободном доступе и открытом виде в исполняемом файле, поэтому любой пользователь мог воспользоваться уязвимостью и получить доступ к персональным данным пользователям. После устранения уязвимости доступа на удаленного работника завели дело о краже персональных данных 700 тыс. пользователей и присудили заплатить штраф в размере 3000 евро.


Автор: @kandinsky21_bot

Проблема возникла с программным обеспечением Modern Solution, которое распространялось в свободном доступе и каждый «подготовленный» пользователь мог получить доступ базам данных, используя исходные коды. Данным программным обеспечением пользовались крупнейшие интернет-площадки: Otto, Kaufland и Check24, а это огромное количество учетных данных.

После обнаружения уязвимости Modern Solution оповестили своих клиентов о проблемах с ПО и возможной утечке персональных данных. А это не только полные ФИО пользователей, адреса, банковские реквизиты, но и переписка клиентов и звонки. А также совершенные покупки в интернет-магазине. Осенью 2021 года началось судебное разбирательство по обвинению IT-специалиста в краже базы данных Modern Solution. Были изъяты персональные компьютеры и гаджеты работника. В дальнейшем следствие установило, что сотрудник ранее работал в компании JTL занимавшейся модернизацией программного обеспечения Modern Solution и, возможно, это помогло ему сломать защиту баз данных. Следствие приняло это во внимание и на этом было построено обвинение.

Источник: wortfilter.de

В ходе следствия было установлено, что программные продукты Modern Solution были недостаточно защищены от внешнего доступа и летом 2023 года IT-специалиста оправдали и сняли обвинения. Но Modern Solution подала на повторное рассмотрение дела, и в начале 2024 года выиграла суд. Таким образом, работника оштрафовали на 3000 евро с оплатой судебных издержек за взлом базы данных. На данный момент у Хендрика Х. еще есть время, чтобы подать апелляцию на пересмотр дела.