¿Un caso de déjà vu? Un tribunal alemán acusó a un programador de piratería informática y le impuso una multa de 3.000 euros por acceso no autorizado a sistemas informáticos externos y espionaje de datos. Según información difundida por Heise, el programador es un proveedor autónomo de servicios de TI (freelancer). Inicialmente, un cliente le encargó que resolviera el problema de demasiados registros generados por el software de gestión de productos utilizado por el cliente.

Después de recibir la tarea, el programador comprobó el software y descubrió que había establecido una conexión MySQL con el servidor remoto de Modern Solution GmbH, un proveedor de software de gestión. Entonces, el programador se conectó a la base de datos remota para realizar un análisis y descubrió que la base de datos contenía datos sobre casi 700.000 clientes de Modern Solution.

Después de darse cuenta de un problema de seguridad con el proveedor de software, el programador se desconectó de la base de datos y luego se comunicó con ModernSolution a través de otros canales para informar el problema.

Por este motivo, ModernSolution desconectó inmediatamente todos los servidores para repararlos el día en que recibió la notificación. Sin embargo, la compañía negó firmemente que hubiera problemas de seguridad en su sistema, y ​​este programador honrado publicó directamente información pública diciendo que ModernSolution tenía problemas de seguridad.

Posteriormente, el proveedor de software llamó a la policía alegando que el programador tenía acceso no autorizado a los datos expuestos y a su servidor de base de datos.

Utilice también texto sin cifrar para almacenar la contraseña:

A juzgar por la descripción del programador demandado, Modern Solution es un proveedor de software muy débil. ¿Por qué dices eso? Porque esta empresa codificó la contraseña de conexión a la base de datos en texto sin cifrar en un archivo ejecutable.

Lo que es aún más aterrador es que los datos de cientos de miles de sus clientes se almacenan en el mismo servidor de base de datos, utilizando el mismo número de cuenta y contraseña, y este archivo ejecutable que contiene la contraseña en texto claro se incluye en el software de gestión que proporcionan a los clientes.

En otras palabras, siempre que se analicen los archivos del software, es fácil obtener la contraseña y conectarse a su base de datos.

Multa de 3.000 euros por parte del tribunal:

Con respecto a este asunto, es fácil ver que ModernSolution llamó a la policía simplemente porque el programador reveló su problema de seguridad, porque siempre negaron que hubiera un problema y no estaban preparados para llamar a la policía al principio hasta que se reveló públicamente.

Los fiscales actuaron de acuerdo con el derecho tradicional alemán, concretamente el artículo 202c del Código Penal alemán, también conocido como cláusula de piratería informática, que tipifica como delito el acceso no autorizado a datos protegidos con contraseña.

Por este motivo, el tribunal de distrito alemán tuvo en cuenta que el programador no tenía otros antecedentes penales y le impuso una multa de 3.000 euros. Esta sentencia fue muy inferior a la pena solicitada por los fiscales alemanes.

apelar:

Los abogados que lo representan dijeron que actuó en interés público e informó responsablemente al proveedor de software sobre la vulnerabilidad de seguridad, pero dijeron que la visión del tribunal sobre el asunto estaba seriamente desactualizada.

Después de todo, aunque accedió a los datos, los descubrió accidentalmente. En segundo lugar, reveló la vulnerabilidad para el interés público. En tercer lugar, no filtró ningún dato, por lo que no debería ser sentenciado/multado desde ninguna perspectiva.

El programador ha presentado ahora un recurso de apelación, que será visto ante el Tribunal Regional Superior de Alemania.