Житель Латвии хотел как лучше, а получил приговор за вымогательство

Фабула дела такова: в 2018 году некий Раймонд Скурулс сообщил в Государственную дирекцию безопасности дорожного движения (ДБДД, CSDD) о дыре в системе безопасности ее домашней странички e–csdd.lv.

Но вскоре ДБДД и Государственная полиция выступили с совместным заявлением: ДБДД столкнулись "с несанкционированной попыткой получить доступ к регистру транспортных средств и попыткой вымогательства, однако благодаря профессиональным действиям сотрудников дирекции и сотрудничеству с Госполицией удалось задержать предполагаемого преступника".

Попытка исследователя получить вознаграждение за информацию об уязвимости — по официальному договору, была истолкована как вымогательство. И на днях был вынесен обвинительный приговор.

После этого ряд экспертов выступили с критикой такого подхода к "вымогательству".

АПБ: мы следующие?

В своем комментарии АПБ указывает: "Члены Ассоциации профессионалов безопасности тоже являются исследователями безопасности, поэтому такое обращение мы считаем тревожным".

Как отмечают в АПБ, уязвимость, которую обнаружил Р. Скурулс, классифицируется по стандартам OWASP как A01 Broken Access Control, то есть неисправный контроль доступа.

Чем же эта "уязвимость" могла обернуться в реальной жизни? Перерегистрацией всех авто в Латвии в пользу кого угодно.

АПБ делает такой вывод: "Считаем, что Раймонд Скурулс был обвинен в вымогательстве 1000 евро необоснованно — в CSDD не смогли обнаружить эту уязвимость, Скурулс потребовал за техническое ее описание указанную сумму, так как на ее открытие потратил много времени и посчитал, что такой вклад дарить не надо".

Сколько принято платить

АПБ также приводит примеры, сколько в подобных ситуациях платят в сложившийся мировой практике известные компании:

* К примеру, таксистская платформа Uber, которая тоже уже столкнулась с утечкой данных и вытекающими отсюда последствиями, предложила за выявление критических уязвимостей исследователю от десяти до пятнадцати тысяч долларов.

* Аналогичную практику развивают также платформы Booking.com и Udemy, предлагая исследователям три и две тысячи долларов соответственно.

"Абсурдно, что суд требует от исследователя по безопасности оплатить расходы, возникшие в результате безответственности IT–руководителя", — подчеркивает АПБ.

Дело о дыре

Раймонд Скрулис 15 октября 2018 года позвонил в ДБДД, назвал свое имя и сообщил, что обнаружил возможную уязвимость в системе авторизации, связанную с Государственным регистром транспортных средств и водителей.

И тогда, и по сей день Скурулс считает, что не должен дарить это открытие ДБДД, поэтому он захотел получить компенсацию за свои услуги.

Из материалов дела следует, что даже имея в кармане договор, Скурулс опасался, что его "кинут" и ничего не заплатят за ценную информацию. Его подозрения не только оправдались, но и превзошли все ожидания — в конце октября руководство ДБДД обратилось с заявлением в Госполицию.

Полиция действительно задержала Скурулса и даже поместила на несколько дней в изолятор кратковременного содержания. В итоге следствие нашло доказательства его вины и дело ушло в суд.

В сентябре 2021 года решением Резекненского суда Скурулс был признан виновным и оштрафован на 12 минимальных месячных зарплат.

Обвиняемый обжаловал решение в Латгальском окружном суде, который постановил признать его невиновным и оправдать.

Однако с таким приговором не смирился прокурор, который обратился с кассационной жалобой в Верховный суд. Три сенатора приняли решение направить дело на новое рассмотрение.

И вот на днях Латгальский окружной суд постановил оставить в силе решение Резекненского суда, согласно которому Раймонд Скурулс должен заплатить штраф (8400 евро), а также компенсировать CSDD якобы причиненный имущественный ущерб — 3459,52 евро.

Однако приговор еще не вступил в силу, так как Скурулс сможет обжаловать его в Сенате Верховного суда.