ऐप में hardcoded credentials उजागर करने वाले जर्मन डेवलपर को 'हैकिंग' का दोषी ठहराया गया

 (infosec.exchange)
1 पॉइंट द्वारा GN⁺ 2024-01-20 | 1 टिप्पणियां | WhatsApp पर शेयर करें

जर्मन कानून सुरक्षा अनुसंधान को जोखिमभरा काम बनाता है

  • एक जर्मन अदालत ने एक डेवलपर को 'हैकिंग' के आरोप में दोषी ठहराया।
  • डेवलपर को ऐसे सॉफ़्टवेयर की जांच सौंपी गई थी जो बहुत अधिक log messages बना रहा था, और जांच के दौरान उसने पाया कि वह सॉफ़्टवेयर vendor के database server से MySQL connection कर रहा था।
  • MySQL connection की पुष्टि करने पर पता चला कि database में सिर्फ client का नहीं बल्कि vendor के सभी customers का data शामिल था। उसने तुरंत vendor को इसकी सूचना दी, लेकिन vendor ने vulnerability ठीक करने के साथ-साथ उसके खिलाफ मुकदमा भी दायर कर दिया।

अदालत का फैसला

  • अदालत में इस बात पर काफी चर्चा हुई कि application में hardcoded database credentials (जो plain text में दिख रहे थे और जिन्हें देखने के लिए decompiling की भी जरूरत नहीं थी) क्या 'हैकिंग' के आरोप को सही ठहराने के लिए पर्याप्त सुरक्षा उपाय माने जा सकते हैं।
  • अदालत के फैसले में कहा गया कि क्योंकि password मौजूद था, इसलिए protection mechanism को bypass किया गया, और यही हैकिंग है।
  • इस फैसले के बाद, चाहे 'सुरक्षा' कितनी भी त्रुटिपूर्ण क्यों न हो, उसका सिर्फ मौजूद होना ही जर्मन कानून के तहत security research को आपराधिक हैकिंग में बदल सकता है।

कम्युनिटी की प्रतिक्रिया

  • कम्युनिटी ने इस मामले पर अपनी राय रखने के लिए कई तरह की उपमाओं का इस्तेमाल किया।
  • कुछ लोगों का कहना था कि hardcoded credentials का उपयोग करना हैकिंग माना जा सकता है, लेकिन इरादे और हुए नुकसान को भी ध्यान में रखा जाना चाहिए।
  • अन्य लोगों ने यह मुद्दा उठाया कि vendor का सॉफ़्टवेयर undocumented external infrastructure को call कर रहा था और संभावित रूप से sensitive data साझा कर रहा था।
  • साथ ही, कानूनी संरक्षण पाने वाले independent auditors की जरूरत और यह संभव न होने पर पैदा होने वाली समस्याओं का भी उल्लेख किया गया।

GN⁺ की राय

  • यह मामला दिखाता है कि vulnerabilities को ढूंढना और उनकी रिपोर्ट करना security researchers के लिए कानूनी जोखिम ला सकता है।
  • अदालत का फैसला security research और responsible disclosure के बीच के तनाव को उजागर करता है, और इस पर महत्वपूर्ण बहस छेड़ता है कि कानूनी framework को तकनीकी प्रगति के साथ कैसे तालमेल बिठाना चाहिए।
  • इससे यह संकेत मिलता है कि ऐसे फैसलों का security researchers पर deterrent effect पड़ सकता है, जिससे कमजोर सुरक्षा उपाय अपनाने वाली कंपनियां जवाबदेही से बच सकती हैं और अंततः users को जोखिम में डाल सकती हैं।

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2024-01-20
Hacker News राय

  • शीर्षक भ्रामक है और लगभग clickbait जैसा लगता है

    • लेख का शीर्षक भ्रामक है और clickbait की सीमा छूता है। असल समस्या यह नहीं थी कि database credentials उजागर किए गए, बल्कि यह थी कि उनका इस्तेमाल करके किसी third-party database server में लॉगिन किया गया। यह इसलिए बड़ी समस्या है क्योंकि जर्मनी में StGB 202 ff. की दंड संहिता की धाराएँ सुरक्षा शोध को व्यवहार में लगभग असंभव बना देती हैं।

  • जर्मनी में सुरक्षा शोध की समस्या

    • जर्मनी में लगभग 20 वर्षों से security में रुचि रखने वाले युवा engineers बहुत कम रहे हैं, और प्रशिक्षित लोग भी दुर्लभ हैं। बड़ी कंपनियों ने लगभग सारी सक्षम प्रतिभा को अपने भीतर खींच लिया है, और सबसे बेहतरीन लोग विदेश चले गए। नतीजतन जर्मनी की ज़्यादातर SMEs रोज़ाना hack हो रही हैं, और कोई audit नहीं करता, इसलिए network से जुड़ी हर चीज़ security risk बन जाती है।

  • कानूनी सलाह

    • यह उम्मीद करना कि higher court में यह मामला खारिज हो जाएगा, बहुत भोली सोच है। अभियुक्त कई अदालती चरणों से गुज़रते हुए वर्षों का समय बर्बाद करेगा और वकीलों की फीस में लगभग 100,000 euro खर्च करेगा। यह सब सिर्फ इसलिए क्योंकि कंपनी अपने data की ठीक से सुरक्षा नहीं कर सकी। अगर कोई स्पष्ट bug bounty program नहीं है, वह आपकी अपनी कंपनी नहीं है, या आपको खास तौर पर holes ढूँढने के लिए hire नहीं किया गया है, तो इस समस्या को अपनी समस्या मत बनाइए।

  • जर्मन सुरक्षा विशेषज्ञों की प्रतिक्रिया

    • कुछ अनुभवी जर्मन infosec विशेषज्ञ इस स्थिति से इतने नाराज़ हैं कि घटनाएँ होने पर भी वे सरकारी एजेंसियों की मदद करने से इनकार कर देते हैं। वे इस स्थिति को 'पीड़ा के ज़रिए सीखना' कहकर व्यक्त करते हैं।

  • यूके के कानून से तुलना

    • जर्मन कानून के बारे में पूरी निश्चितता नहीं है, लेकिन यूके में इसे साफ़ तौर पर computer misuse माना जाएगा और एक सीधा-सादा मामला समझा जाएगा।

  • कानून में संशोधन की ज़रूरत

    • लगता है कि कानून को फिर से लिखा जाना चाहिए। इरादा मायने रखता है, और यह 'hacker' नुकसान पहुँचाना चाहता था, ऐसा नहीं लगता। कंपनी ने अपनी ही vulnerability उजागर की और अब उसे सामने लाने वाले व्यक्ति को सज़ा देना चाहती है।

  • समान मामला

    • यह उस मामले जैसा है जिसमें BASE64 में encoded social security numbers को decode करना 'hacking' माना गया था।

  • नीदरलैंड्स के food startup का मामला

    • PostNL के साथ काम करते समय, दूसरे ग्राहकों के data तक पहुँच संभव हो गई थी, लेकिन कानूनी ज़िम्मेदारी से बचने के लिए उसे इस्तेमाल न करने का फैसला किया गया। कंपनी को कानूनी रूप से इसकी रिपोर्ट करनी चाहिए थी, लेकिन उसने ऐसा नहीं किया।

  • सुरक्षा के प्रति सामान्य रवैया

    • कई 'hacking' मामले ऐसे हैं जैसे लोग अपना मुख्य दरवाज़ा पूरी तरह खुला छोड़ दें। अगर दरवाज़ा खुला छोड़ने पर चोरी हो जाए तो किसी को सहानुभूति नहीं मिलती, लेकिन जब कंपनी security को नज़रअंदाज़ करती है, तो गुस्सा hackers पर निकाला जाता है।

  • सद्भावना के सिद्धांत के उलट स्थिति

    • अगर कोई समस्या मिलती है, तो ऐसी स्थिति बन जाती है जहाँ कुछ भी न कहना और कुछ भी न करना ही बेहतर है। यह सोचकर रुक जाना कि शायद समस्या है, और फिर कंपनी के शेयर short करना क्या कानूनी होगा, यह सोचने वाली बात है।

  • समस्या मिलने पर क्या करें

    • अगर कोई समस्या दिख भी जाए, तो उसे नज़रअंदाज़ करना बेहतर है। यह बताना भी कि password दिखाई दे रहा है, अपने ऊपर जोखिम लेना है। password का इस्तेमाल करना तो और भी ज़्यादा टालना चाहिए।

  • दंड संहिता की धारा 202a

    • इसमें 'ऐसे data तक पहुँच' का वर्णन है जो 'विशेष उपायों द्वारा अनधिकृत पहुँच से संरक्षित' हो, और client में hardcoded password भी इसके अंतर्गत आता है।