作者VisualStudio (2015)
看板Soft_Job
標題[請益] 研究人員揭露軟體漏洞,反被FBI當成駭客
時間Tue May 31 18:55:48 2016
文章出處:
http://goo.gl/ffEU6b
研究人員揭露軟體漏洞,反被FBI當成駭客突襲調查
安全研究人員Justin Shafer發現了Eaglesoft牙醫診所管理軟體使用固定的資料庫密碼,
且在FTP伺服器上曝露了2.2萬名牙醫病患的資料,2月告知Patterson Dental及資料外洩
的2.2萬名病患,但在上周二他被FBI以涉嫌違反美國電腦詐欺與濫用法令突襲調查。
36歲的安全研究人員Justin Shafer上周二(5/24)凌晨在家中遭到十多名FBI探員突襲,
起因為他揭露了一款牙醫診所管理軟體的儲存安全漏洞,被控違反美國的電腦詐欺與濫用
法令(Computer Fraud and Abuse Act,CFAA)。
Shafer所調查的對象是Patterson Dental所開發的Eaglesoft牙醫診所管理軟體,今年初
他發現了Eaglesoft使用固定的資料庫密碼,且在FTP伺服器上曝露了2.2萬名牙醫病患的
資料。Patterson Dental於今年2月關閉了FTP伺服器,美國電腦緊急應變中心US-CERT則
是在3月針對該漏洞提出警告。
根據Shafer向Daily Dot的描述,他是在上周二早上六點半聽到連續的電鈴聲與激烈的敲
門聲,從睡夢中被吵醒的第一個想法是他父親過世了,然而他開門一看,卻是有十多名
FBI探員持槍出現在門口,他被上了手銬,探員們扣押了29項物品,屋內還有嚇傻了的老
婆與三個小孩。
FBI告訴Shafer,Patterson Dental指控他在調查相關漏洞時違反了CFAA法令。
專門收錄大量遊戲、驅動程式與各種軟體資訊的Softpedia認為,CFAA中的某些規定讓美
國政府可以把安全研究人員當作犯罪份子來對待,如同有人在路上撿到錢包再還給失主還
會被當成是小偷一樣。
事實上,Shafer在發現Eaglesoft軟體漏洞之後,已於今年2月告知Patterson Dental,也
通知了資料外洩的2.2萬名病患。
與CFAA法令有關的另一起爭議的案例是14歲就參與RSS 1.0版規格制定,為Reddit社交新
聞網站共同創辦人的Aaron Swartz,他在2011年被控攻擊連結MIT網路的一台筆電,並下
載400萬筆的學術文章,檢察官認為Swartz非法持有來自受保護電腦的資訊並企圖散布。
Swartz在2013年於家中自縊身亡,享年26歲。
--
所以如果發現漏洞了,怎麼做比較好?
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.42.206.228
※ 文章網址: https://www.ptt.cc/bbs/Soft_Job/M.1464692156.A.3EF.html
※ 編輯: VisualStudio (114.42.206.228), 05/31/2016 18:57:07
→ dnabossking: 以前大學時,教授板書寫錯了 05/31 19:17
→ dnabossking: 我絕對不說,除非同學私下來問 05/31 19:19
→ robler: 現在還有人相信美國有自由? 05/31 19:51
→ KJFC: 在伺服器上暴露資料 05/31 19:52
推 glory5566: hail Hydra 05/31 22:25
推 tsairay: 大張旗鼓公開啊,私下告知就變成現在這樣啦 05/31 22:29
推 chuegou: 也通知了資料外洩的2.2萬名病患 其實也算公開了拉 06/01 00:07
→ ACMANIAC: 先修法吧 06/01 01:51
推 purplebfly: 很難死4.0的反派就是這樣子來的 06/01 02:08
→ dreamnook: 很難死4.0反派主要是要錢啦XD 06/01 09:18
→ comesuck: 反派是殺手47 06/01 09:24
推 Luos: 公開不就GG 06/01 11:15
→ x000032001: 要通知2.2萬個人 不覺得這是件不可思議的事情嗎 06/01 12:42
→ x000032001: 看他的blog..根本就eaglesoft惱羞嘛 06/01 12:59
推 tsairay: 媒體關注才是護身符啊 06/01 15:18
推 cerwvk: 自己用,不能說啊. 06/02 13:05
→ moelin2007: 在台灣先找水果 06/02 18:57
噓 honochung: 享年26歲 06/04 13:44
推 honochung: 補推 06/04 13:45