bencede
New member
Modern çözüm: savcılık bilgisayar uzmanlarına yönelik suçlamalarda başarısız oldu
Jülich bölge mahkemesi, Köln Cumhuriyet Başsavcılığı’nın 2021’de Modern Solution şirketinin yazılımında güvenlik açığı bulan bilişim uzmanı hakkında talep ettiği davayı reddetti. Jülich yargıçlarına göre, güvenlik uzmanının soruşturmaları sırasında eriştiği veriler etkin bir şekilde korunmadığı için ceza gerektiren bir suç yoktu. O sırada Modern Solution, güvenlik açığını keşfettiği için programcıya teşekkür etmek yerine onu bildirdi. Çeşitli çevrimiçi mağazaların 700.000’den fazla son müşterisinin verileri, başarısız yazılım koruması sayesinde herkesin erişimine açıldı. Köln savcılığı, Jülich’in cezasını Aachen bölge mahkemesinde temyiz etti.
Ne oldu?
Yaklaşık iki yıl önce bir güvenlik araştırmacısı, Ruhr bölgesindeki Alman Gladbeck şirketi Modern Solutions’ın yazılımında bir güvenlik açığı keşfetti. Bir müşteri için sorun giderirken, güvenlik araştırmacısı yazılımın müşteri verilerini bir SQL bağlantısıyla İnternet üzerinden düz metin olarak ilettiğini keşfetti. BT uzmanı, yazılımın bazı bölümlerini kaynak koda dönüştürdükten sonra, bu güvenli olmayan SQL bağlantısı için erişim verilerinin kaynak koduna entegre edildiğini keşfetti ve böylece şirketin sunucularında daha fazla veri görüntüleyebildi. Modern Solution’ın yazılımı, müşterilerinin ürün yönetim sistemlerini Otto, Kaufland ve Check24 gibi çevrimiçi pazaryerlerinin yazılımlarıyla birleştirir. Güvenlik ihlali nedeniyle, bu çevrimiçi mağazaların 700.000’den fazla alıcısının, yani nihai müşterilerin verileri görüntülenebildi.
Güvenlik araştırmacısı, Modern Solution şirketiyle iletişime geçti ve onları güvenlik açığının varlığından haberdar etti. Güvenlik araştırmacısı ve e-ticaret blog yazarı Mark Steier, her iki taraftan gelen garip iletişimin ardından aynı gün güvenlik açığının ayrıntılarını yayınladı. Modern Solution, programcıya teşekkür etmek ve hatta onu bir hata ödülü ile ödüllendirmek yerine, güvenlik uzmanına karşı şikayette bulundu. Köln savcılığı daha sonra onu veri casusluğu, çalıntı veriler alma ve federal veri koruma yasasını ihlal etme suçlarından soruşturdu. Bu soruşturmalar nihayetinde Jülich Bölge Mahkemesi önünde veri casusluğu nedeniyle cezai kovuşturma talebiyle sonuçlandı; sözde “hacker paragrafı” 202a StGB’nin bir uygulaması.
Ayrıca, 15 Eylül 2021’de yapılan bir ev aramasında, serbest çalışan programcının tüm iş ekipmanına el konuldu: bir PC, beş dizüstü bilgisayar, bir cep telefonu ve beş harici depolama ortamı. Bu tür bir müsadere, bir serbest çalışan için potansiyel olarak yaşamı tehdit eden bir süreç olabilir. Etkilenen BT uzmanı Haberler online’a Modern Solution’ın şirket için utanç verici olan güvenlik açıklarıyla ilgili ayrıntıları yayınladığı için intikam almak için kendisine dava açtığını söyledi.
Etkili destek yok, suç yok
Jülich Bölge Mahkemesinin 10 Mayıs 2023 tarihli Haberler Online’da yer alan kararına göre, güvenlik araştırmacısı aleyhindeki ceza davası artık yasal gerekçelerle reddedildi. Mahkeme, güvenlik araştırmacısı tarafından erişilen veriler yeterince korunmadığı için suç olmadığını varsaymaktadır. “Yalnızca yetkisiz erişime karşı özellikle korunan veriler, suçun koruma kapsamına girer. Bu, nesnel olarak uygun önlemlerin alındığını varsayar. […] verilere erişimi engellemek için,” diyor mahkeme kararında, “Mahkeme, bu şekilde şifre korumasının yeterli olduğuna göre savcılığın takibini yapmıyor. Parola, örneğin çok basitse veya belirli uygulamalar için standart bir şekilde kullanılıyorsa, her zaman etkili veri güvenliğini garanti etmez. Bu gibi durumlarda, verilere erişim sağlamak kesin değildir.”
Haberler online, Modern Solution yazılımına yönelik kendi araştırmaları sayesinde, yazılımın gerçekten de kalıcı olarak yüklenmiş bir standart parola içerdiğini doğrulayabildi. Bu nedenle, şirketin web sitesinden ücretsiz olarak indirilebilen bu yazılımı inceleyen herkes, Modern Solution’ın sunucularındaki verilere erişebilir. İlgili uygulama dosyasını kaynak koda dönüştürmek ve şifreyi bulmak roket bilimi değildir. Bunun için uygun talimatlar ve gerekli yazılım, arama motorunu kullanabilen herkes tarafından kullanılabilir. İlgili bilgi ve gerekli yazılım, her güvenlik araştırmacısının standart araçlarının bir parçasıdır. Bu yazılımın beceriksiz parola koruması, gerçekten kötü bir bilgisayar korsanını zaten uzun süre durduramazdı.
Şimdi bölge mahkemesi karar vermeli
Güvenlik araştırmacısı ve ona bilgi veren blog yazarı, o sırada güvenlik açığını çok hızlı bir şekilde yayınlasa da, bu güvenlik açığı şu anda halkın bilgilendirildiği ve zaten kapatıldığı için Sorumlu İfşa olarak bilinen temel kuralları izleyen bir süreçti. . Şirkete açıklama ile yayınlama arasında daha fazla süre verilebilirdi. Tecrübeli gazeteciler ve güvenlik araştırmacıları da kesinlikle aynısını yapardı. Modern Solution’ın güvenlik araştırmacısına ve basına – Haberler çevrimiçi dahil – e-postalarından çıkan kaba üsluba dayanarak, hikayenin o sırada farklı bir şekilde ortaya çıkması da anlaşılabilir. Etkilenen 700.000’den fazla son müşteriyle birlikte, davadaki kamu ilgisi de oldukça açıktı.
Yaklaşık bir buçuk yıl sonra, bilişim uzmanı nihayet Jülich Bölge Mahkemesinin kararı kapsamında el konulan cihazları geri aldı. Ancak Köln Cumhuriyet Savcılığı, Jülich bölge mahkemesinin kararını temyiz etti. Bu başvuru şu anda bir sonraki yüksek derece olan Aachen bölge mahkemesi tarafından karara bağlanmaktadır. Köln savcılığı bu dava hakkında herhangi bir bilgi vermek istemedi, ancak bu davanın ötesinde güvenlik araştırmacısı aleyhine başka bir ceza davasının görülmediğini _Haberler online_ olarak doğruladı. Aachen bölge mahkemesi, devam eden şikayet prosedürü hakkında ancak müzakere edildikten sonra savcılığa bilgi verecektir. Haberler online diğer gelişmeler hakkında rapor verecektir.
(aks)
Haberin Sonu