Desarrollador alemán que expuso credenciales hardcodeadas dentro de una app es declarado culpable de 'hackeo'

 (infosec.exchange)
1 puntos por GN⁺ 2024-01-20 | 1 comentarios | Compartir por WhatsApp

La ley alemana convierte la investigación de seguridad en una actividad riesgosa

  • Un tribunal alemán declaró culpable a un desarrollador por cargos de "hackeo".
  • El desarrollador había sido encargado de investigar un software que generaba demasiados mensajes de registro y descubrió que ese software estaba realizando una conexión MySQL al servidor de base de datos del proveedor.
  • Al verificar la conexión MySQL, descubrió que la base de datos contenía no solo datos del cliente, sino también los de todos los clientes del proveedor. Informó de inmediato al proveedor, pero este corrigió la vulnerabilidad y al mismo tiempo presentó una denuncia.

Fallo del tribunal

  • En el tribunal hubo un debate considerable sobre si las credenciales de base de datos hardcodeadas en la aplicación (aparentemente en texto plano y sin requerir siquiera decompilación) constituían una medida de protección suficiente para justificar cargos de hackeo.
  • El fallo del tribunal establece que, como había una contraseña, se eludió un mecanismo de protección y eso constituye hackeo.
  • Este fallo implica que incluso una "protección" defectuosa puede, por su sola existencia, convertir la investigación de seguridad en hackeo criminal bajo la ley alemana.

Reacción de la comunidad

  • En la comunidad, distintas analogías se usaron para compartir opiniones sobre este caso.
  • Algunos sostienen que usar credenciales hardcodeadas podría constituir hackeo, pero que también deben considerarse la intención y el daño causado.
  • Otros señalaron que el software del proveedor hacía llamadas a infraestructura externa no documentada y potencialmente compartía datos sensibles.
  • También se mencionó la necesidad de auditores independientes protegidos legalmente y el problema de que eso no sea viable en la práctica.

Opinión de GN⁺

  • Este caso muestra que descubrir y reportar vulnerabilidades puede implicar riesgos legales para los investigadores de seguridad.
  • El fallo del tribunal subraya la tensión entre la investigación de seguridad y la divulgación responsable, y abre una discusión importante sobre cómo los marcos legales deben armonizarse con el avance tecnológico.
  • También sugiere que decisiones como esta pueden tener un efecto disuasorio sobre los investigadores de seguridad, permitiendo que empresas con prácticas de seguridad inadecuadas eviten enfrentar el problema y, en última instancia, expongan a los usuarios a riesgos.

Lecturas relacionadas

1 comentarios

 
GN⁺ 2024-01-20
Opiniones de Hacker News

  • El título es confuso y parece casi clickbait

    • El título del artículo es confuso y roza el clickbait. En realidad, el problema no fue exponer credenciales de base de datos, sino usarlas para iniciar sesión en el servidor de base de datos de un tercero. Esto es un gran problema debido a las disposiciones penales StGB 202 ff., que en la práctica han hecho casi imposible la investigación de seguridad en Alemania.

  • El problema de la investigación de seguridad en Alemania

    • En Alemania, durante unos 20 años casi no ha habido ingenieros jóvenes interesados en seguridad, y también son pocos los que están formados. Las grandes empresas absorbieron a todo el talento competente y los mejores se fueron al extranjero. Como resultado, la mayoría de las pymes alemanas están siendo hackeadas a diario, y como nadie hace auditorías, todo lo conectado a la red se convierte en un riesgo de seguridad.

  • Consejo legal

    • Esperar que este caso sea desestimado en un tribunal superior es una idea muy ingenua. El acusado perderá años pasando por varias instancias judiciales y gastará alrededor de 100 mil euros en honorarios legales. Todo esto porque la empresa no protegió adecuadamente sus propios datos. Si no existe un programa de bug bounty claro, no es tu propia empresa o no te contrataron para encontrar fallas, el consejo es no hacer tuyo el problema.

  • Reacción de los expertos en seguridad alemanes

    • Algunos profesionales alemanes experimentados en seguridad de la información están tan molestos por esta situación que se niegan a ayudar a organismos gubernamentales incluso cuando ocurre un incidente. Describen la situación con la frase "aprender a través del sufrimiento".

  • Comparación con la ley del Reino Unido

    • No estoy seguro sobre la legislación alemana, pero en el Reino Unido esto se consideraría claramente un caso de uso indebido informático y se tramitaría como un caso sencillo.

  • Necesidad de reformar la ley

    • Parece que la ley necesita ser reescrita. La intención importa, y este "hacker" no parece haber querido causar daño. La empresa expuso sus propias vulnerabilidades y ahora quiere castigar a quien las reveló.

  • Casos similares

    • Es similar a un caso en el que descifrar números de seguridad social codificados en BASE64 fue considerado "hackeo".

  • Caso de una startup alimentaria neerlandesa

    • Mientras colaboraban con PostNL, llegaron a tener acceso a datos de otros clientes, pero decidieron no usarlos para evitar responsabilidad legal. La empresa debía haberlo reportado legalmente, pero no lo hizo.

  • Actitud general hacia la seguridad

    • Muchos casos de "hackeo" son como si la gente dejara la puerta principal completamente abierta y se fuera. Si dejas la puerta abierta y te roban, no recibes mucha simpatía, pero cuando una empresa descuida la seguridad, la ira se dirige contra los hackers.

  • Una situación contraria a las reglas de la buena fe

    • Es una situación en la que, si descubres un problema, no debes decir nada ni hacer nada. Me pregunto si sería legal pensar que podría haber un problema, detenerte ahí y luego vender en corto las acciones de la empresa.

  • Qué hacer al descubrir un problema

    • Incluso si descubres un problema, es mejor ignorarlo. Hasta avisar que la contraseña está visible implica asumir un riesgo. Usarla debe evitarse todavía más.

  • Artículo 202a del código penal

    • Describe el acto de "acceder a datos protegidos contra acceso no autorizado mediante medidas especiales", y una contraseña hardcodeada en el cliente también entra en esa categoría.