В Германии программиста-фрилансера оштрафовали на €3000 после его сообщения о серьёзной уязвимости

В далёком 2021 году немецкий программист обнаружил уязвимость, позволяющую получить доступ к данным 700 тысяч клиентов компании Modern Solution. Он связался с Modern Solution, после чего компания закрыла уязвимость и подала в суд на программиста, обвинив его в незаконном доступе к данным.
Программист работал по заказу своего клиента. В ходе работы выяснилось, что клиентский софт устанавливает MySQL‑соединение с головным сервером, используя пароль, записанный в исполняемом файле MSConnect.exe в формате plaintext. Программист полагал, что при тестовом подключении к базе он обнаружит только данные непосредственно своего заказчика, однако получил доступ к данным всех 700 тысяч его клиентов. По его словам, поняв это, он сразу отключил соединение с базой данных и сообщил о проблеме Modern Solution 🤝
Modern Solution устранила уязвимость и заявила на программиста в полицию, обвинив его в декомпиляции исполняемого файла, незаконном получении пароля и доступа к клиентским данным. Топ‑менеджеры организации заявили, что обвиняемый работал ранее в компании JTL, бывшем партнёре Modern Solution, с которым у компании испортились отношения, и что доступ к паролю он получил благодаря инсайдерским знаниям, полученным в JTL.
Программиста сначала оправдали, учтя представленные доказательства низкого уровня защиты ПО компании Modern Solution, но вскоре дело направилось в апелляционный суд. 17 января этого года суд признал программиста виновным по статье § 202a Уголовного кодекса страны и оштрафовал на €3000. Прокуратура посчитала доказанным факт того, что обвиняемый пытался нанести ущерб компании. Кроме того, сам факт наличия пароля, даже плохо защищённого, уже свидетельствует о наличии защиты и попадает под соответствующую статью согласно обвинению. Факт того, что доступ был получен в рамках функциональной проверки по запросу пострадавшей стороны, не послужил оправданием.