Source: Slashdot
根据《寄生虫》报道,一名德国的安全研究人员因发现并报告一个暴露近70万客户记录的电子商务数据库漏洞而被罚款3300美元。2021年6月,据德国新闻网Heise报道,一名被称为Hendrik H.的承包商在为IT服务公司Modern Solution GmbH的一个客户疑难故障软件时发现了这个问题。他发现,Modern Solution的代码通过MySQL连接到一台由供应商操作的MariaDB数据库服务器。结果发现访问该远程服务器的密码以明文形式存储在程序文件MSConnect.exe中,只需要用简单的文本编辑器打开该文件即可揭示出未加密的硬编码凭证。有了这个易于找到的密码,任何人都可以登录到远程服务器,访问不仅仅是Modern Solution的一个客户的数据,还包括所有供应商存储在这个数据库服务器上的客户数据。
据称,这些信息包括这些客户自己客户的个人详细信息。我们被告知,Modern Solution的程序文件可以免费从网络中获取,因此任何人都可以使用文本编辑器检查可执行文件中的明文硬编码数据库密码。该承包商的发现在2021年6月23日的一份关于电子商务的报告中被Mark Steier讨论。当天,Modern Solution发布了一份声明[PDF],总结了这一事件[...]。声明指出,Modern Solution客户的敏感数据外泄:姓氏、名字、电子邮件地址、电话号码、银行详细信息、密码以及对话和通话历史。
但声明声称,只有少量与这些零售客户购物者相关的数据- 姓名和地址-被曝光。Steier认为这是错误的,并声称Modern Solution淡化了数据曝光的严重性,他说这些数据中包括由Modern Solution客户操作的在线商店的大量客户数据。2021年9月,德国警方根据Modern Solution的投诉,查封了这位IT顾问的电脑,称他只能通过内部知识来获取这个密码 - 他之前曾经在一家相关公司工作-并且这家公司声称他是竞争对手。Hendrik H.被以违法访问数据的罪名起诉,根据德国《刑法》第202a条的规定,根据欧洲国家的网络安全法,通过密码检查受保护数据可以被归类为犯罪。
2023年6月,德国西部Jülich地区法院站在了这位IT顾问的一边,因为Modern Solution的软件保护不够。但亚琛地区法院指示地区法院审理投诉。现在,地区法院改变了初步决定。1月17日,Jülich地区法院对Hendrik H.罚款并要求他支付诉讼费用。
数据安全问题令人担忧,我们应该重视并加强对个人信息的保护措施。