Ассоциация профессионалов безопасности (Drošības profesionāļu asociācija, АПБ, DPA) выступила против обвинений в вымогательстве исследователя, который рассказал о дыре в безопасности сайта ДБДД и попросил за это вознаграждение.
Фабула дела такова: в 2018 году некий Раймонд Скурулс сообщил в Государственную дирекцию безопасности дорожного движения (ДБДД, CSDD) о дыре в системе безопасности ее домашней странички e–csdd.lv.
Но вскоре ДБДД и Государственная полиция выступили с совместным заявлением: ДБДД столкнулись "с несанкционированной попыткой получить доступ к регистру транспортных средств и попыткой вымогательства, однако благодаря профессиональным действиям сотрудников дирекции и сотрудничеству с Госполицией удалось задержать предполагаемого преступника".
Попытка исследователя получить вознаграждение за информацию об уязвимости — по официальному договору, была истолкована как вымогательство. И на днях был вынесен обвинительный приговор.
После этого ряд экспертов выступили с критикой такого подхода к "вымогательству".
АПБ: мы следующие?
В своем комментарии АПБ указывает: "Члены Ассоциации профессионалов безопасности тоже являются исследователями безопасности, поэтому такое обращение мы считаем тревожным".
Как отмечают в АПБ, уязвимость, которую обнаружил Р. Скурулс, классифицируется по стандартам OWASP как A01 Broken Access Control, то есть неисправный контроль доступа.
Чем же эта "уязвимость" могла обернуться в реальной жизни? Перерегистрацией всех авто в Латвии в пользу кого угодно.
АПБ делает такой вывод: "Считаем, что Раймонд Скурулс был обвинен в вымогательстве 1000 евро необоснованно — в CSDD не смогли обнаружить эту уязвимость, Скурулс потребовал за техническое ее описание указанную сумму, так как на ее открытие потратил много времени и посчитал, что такой вклад дарить не надо".
Сколько принято платить
АПБ также приводит примеры, сколько в подобных ситуациях платят в сложившийся мировой практике известные компании:
* К примеру, таксистская платформа Uber, которая тоже уже столкнулась с утечкой данных и вытекающими отсюда последствиями, предложила за выявление критических уязвимостей исследователю от десяти до пятнадцати тысяч долларов.
* Аналогичную практику развивают также платформы Booking.com и Udemy, предлагая исследователям три и две тысячи долларов соответственно.
"Абсурдно, что суд требует от исследователя по безопасности оплатить расходы, возникшие в результате безответственности IT–руководителя", — подчеркивает АПБ.
Дело о дыре
Раймонд Скрулис 15 октября 2018 года позвонил в ДБДД, назвал свое имя и сообщил, что обнаружил возможную уязвимость в системе авторизации, связанную с Государственным регистром транспортных средств и водителей.
И тогда, и по сей день Скурулс считает, что не должен дарить это открытие ДБДД, поэтому он захотел получить компенсацию за свои услуги.
Из материалов дела следует, что даже имея в кармане договор, Скурулс опасался, что его "кинут" и ничего не заплатят за ценную информацию. Его подозрения не только оправдались, но и превзошли все ожидания — в конце октября руководство ДБДД обратилось с заявлением в Госполицию.
Полиция действительно задержала Скурулса и даже поместила на несколько дней в изолятор кратковременного содержания. В итоге следствие нашло доказательства его вины и дело ушло в суд.
В сентябре 2021 года решением Резекненского суда Скурулс был признан виновным и оштрафован на 12 минимальных месячных зарплат.
Обвиняемый обжаловал решение в Латгальском окружном суде, который постановил признать его невиновным и оправдать.
Однако с таким приговором не смирился прокурор, который обратился с кассационной жалобой в Верховный суд. Три сенатора приняли решение направить дело на новое рассмотрение.
И вот на днях Латгальский окружной суд постановил оставить в силе решение Резекненского суда, согласно которому Раймонд Скурулс должен заплатить штраф (8400 евро), а также компенсировать CSDD якобы причиненный имущественный ущерб — 3459,52 евро.
Однако приговор еще не вступил в силу, так как Скурулс сможет обжаловать его в Сенате Верховного суда.