文章出處: http://goo.gl/ffEU6b 研究人員揭露軟體漏洞，反被FBI當成駭客突襲調查 安全研究人員Justin Shafer發現了Eaglesoft牙醫診所管理軟體使用固定的資料庫密碼， 且在FTP伺服器上曝露了2.2萬名牙醫病患的資料，2月告知Patterson Dental及資料外洩 的2.2萬名病患，但在上周二他被FBI以涉嫌違反美國電腦詐欺與濫用法令突襲調查。 36歲的安全研究人員Justin Shafer上周二（5/24）凌晨在家中遭到十多名FBI探員突襲， 起因為他揭露了一款牙醫診所管理軟體的儲存安全漏洞，被控違反美國的電腦詐欺與濫用 法令（Computer Fraud and Abuse Act，CFAA）。 Shafer所調查的對象是Patterson Dental所開發的Eaglesoft牙醫診所管理軟體，今年初 他發現了Eaglesoft使用固定的資料庫密碼，且在FTP伺服器上曝露了2.2萬名牙醫病患的 資料。Patterson Dental於今年2月關閉了FTP伺服器，美國電腦緊急應變中心US-CERT則 是在3月針對該漏洞提出警告。 根據Shafer向Daily Dot的描述，他是在上周二早上六點半聽到連續的電鈴聲與激烈的敲 門聲，從睡夢中被吵醒的第一個想法是他父親過世了，然而他開門一看，卻是有十多名 FBI探員持槍出現在門口，他被上了手銬，探員們扣押了29項物品，屋內還有嚇傻了的老 婆與三個小孩。 FBI告訴Shafer，Patterson Dental指控他在調查相關漏洞時違反了CFAA法令。 專門收錄大量遊戲、驅動程式與各種軟體資訊的Softpedia認為，CFAA中的某些規定讓美 國政府可以把安全研究人員當作犯罪份子來對待，如同有人在路上撿到錢包再還給失主還 會被當成是小偷一樣。 事實上，Shafer在發現Eaglesoft軟體漏洞之後，已於今年2月告知Patterson Dental，也 通知了資料外洩的2.2萬名病患。 與CFAA法令有關的另一起爭議的案例是14歲就參與RSS 1.0版規格制定，為Reddit社交新 聞網站共同創辦人的Aaron Swartz，他在2011年被控攻擊連結MIT網路的一台筆電，並下 載400萬筆的學術文章，檢察官認為Swartz非法持有來自受保護電腦的資訊並企圖散布。 Swartz在2013年於家中自縊身亡，享年26歲。 -- 所以如果發現漏洞了，怎麼做比較好? -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.42.206.228 ※ 文章網址: https://www.ptt.cc/bbs/Soft_Job/M.1464692156.A.3EF.html ※ 編輯: VisualStudio (114.42.206.228), 05/31/2016 18:57:07