Исследователя арестовали за обнаружение багов на сайтах для избирателей
Глава компании Vanguard Cybersecurity Дэвид Левин (David Levin) нашел уязвимости на нескольких сайтах Избирательной комиссии во Флориде. Еще в январе 2016 года исследователь обнародовал эти данные, даже записав видеоролик с демонстрацией опасных багов. Теперь Левину предъявлены три обвинения в незаконном доступе к компьютерами или компьютерным системам.
В декабре 2015 год Левин обнаружил, что местный избирательный сайт округа Ли (штат Флорида) уязвим перед SQL-инъекциями, что позволяет атакующему получить доступ к учтенным данным сотрудников, хранящимся в виде обычного текста, безо всякого шифрования. Исследователь уведомил о своей находке местное отделение Избирательной комиссии, а также связался Дэном Синклером (Dan Sinclair), совместно с которым и записал видео, подробно рассказывающее о найденной уязвимости и ее эксплуатации.
Синклер – один из кандидатов на позицию распорядителя предстоящих выборов (Supervisor of Elections) в округе Ли, и эта должность сродни должности председателя местной избирательной комиссии. Пока этот пост в округе Ли занимает Шерон Харрингтон (Sharon Harrington), которой происходящее совсем не понравилось. Согласно сообщениям местных СМИ, Харрингтон назвала происходящее «медийным предвыборным трюком» и подала жалобу на Левина в правоохранительные органы.
Видео с демонстрацией уязвимости было размещено на YouTube 25 января, а уже 8 февраля в доме Левина был проведен обыск, и полиция изъяла его компьютеры. На прошлой неделе полиция вообще получила ордер на арест исследователя, но согласно официальному сообщению (видео в шапке статьи), узнав об этом, он сам сдался в руки властей, а затем, несколько часов спустя, вышел под залог в размере $15 000.
Левину предъявили три обвинения: якобы он взломал избирательный сайт округа Ли 19 декабря 2015 года, а затем 4 и 31 января 2016 года также взломал сайт Избирательной комиссии штата. Официальная позиция властей проста: Левин не спрашивал ничьего разрешения и не уведомил никого о бреши, перед тем как начал проводить «полевые испытания» уязвимости и получил доступ к конфиденциальным данным. Сообщается, что узнав логины и пароли сотрудников Избирательной комиссии, Левин воспользовался ими для получения доступа к другим закрытым областям сайта.
Некоторые коллеги Левина по цеху склонны согласиться с оценкой правоохранительных органов. Известный исследователь в области информационной безопасности Трой Хант (Troy Hunt), владелец агрегатора утечек данных HaveIBeenPwned.com, высказался следующим образом:
«Дэйв определенно обнаружил серьезную проблему, но вместо того чтобы остановиться на этом и сообщить о ней, он продемонстрировал, с помощью какого инструмента извлечь кучу данных [речь идет о Havij. прим. ][ ]. Среди этих данных были логины и пароли, хранившиеся в виде обычного текста (еще один большой недочет с их стороны), которые он использовал, чтобы войти на сайт и просмотреть конфиденциальные данные (по крайней мере, они должны были быть конфиденциальными)».
Левин отреагировал на слова Ханта довольно резко, написав в твиттере: «ну конечно, я позволил спеси взять над собой верх. Отныне я всегда буду спрашивать себя “а что бы сделал Трой?”».
Дэн Синклер и вовсе опровергает официальное заявление полицейского управления Флориды. Синклер связался с журналистами издания Softpedia и сообщил, что Левин не использовал обнаруженные логины и пароли для получения доступа к сайту, он лишь продемонстрировал, что учтенные данные работают, и не предпринимал никаких дальнейших действий. Кроме того, Синклер заявляет, что Левин был обязан уведомить власти о найденной проблеме в письменной форме, что он и сделал, так что информация о том, что исследователь не поставил никого в известность – ошибочна.
Хотя сам Левин и многие его коллеги (включая Ханта) полагают, что данный инцидент носит скорее политический характер и имеет мало общего с информационной безопасностью, теперь исследователь в любом случае может стать жертвой системы, во многом из-за собственной неосмотрительности.