Różne e-maile ludzie do nas piszą, ale ten był szczególny. Nadawca informował, że przeprowadził niezamówione testy penetracyjne dużej polskiej firmy, potem zażądał wynagrodzenia za ujawnienie swoich odkryć, a na koniec postanowił zemścić się za odmowę zapłaty.
W naszej branży pracują różni ludzie. Niektórzy mają dużo talentów technicznych, a mało społecznych. Inni ignorują obowiązujące przepisy, jakby ich nie dotyczyły. Jeszcze inni są zwyczajnie zagubieni w świecie, nie mają doświadczenia i szukają swojego miejsca. Z tego powodu postanowiłem opisać wyżej wspomniany przypadek, by uchronić osoby o dobrych intencjach od przykrych konsekwencji, a osobom o złych intencjach oszczędzić czasu poświęconego na pisanie do nas e-maili. Ale po kolei.
Co tam się odtestowało
Osoba do nas pisząca przeprowadziła testy bezpieczeństwa firmy, która tych testów nie zamawiała. Przyczyna jest niejasna – z treści cytowanej korespondencji, wynika, że badanie rzekomo zlecił kontrahent, którego dane ta firma przetwarzała. To dziwne, nie spotykamy się z takimi testami bez poinformowania firmy testowanej. W ramach testów odkryto co najmniej następujące podatności:
- nadmierne nagłówki w wiadomościach poczty elektronicznej,
- podatności w systemach umożliwiające pobranie danych klientów (bez precyzowania szczegółów),
- możliwość (poziom szczegółów wskazuje, że przetestowaną) przeniknięcia do siedziby firmy, podając w recepcji fałszywe dane osobowe pracownika i informując o zagubionej karcie, a następnie zwiedzenia całej siedziby, z piciem kawy w firmowej kawiarni włącznie.
Z przesłanych nam informacji wynika, że firma – po otrzymaniu zgłoszenia wraz z pytaniem o program bug bounty – zaproponowała podpisanie porozumienia o zachowaniu poufności. Osoba, z którą korespondowaliśmy, odmówiła, w zamian podając rzekome ceny rynkowe podatności, które udało się jej odkryć. Cennik okazał się dość ciekawy:
- nagłówki poczty: 100 – 200 EUR,
- informacja o możliwości penetracji fizycznej: 15 000 – 30 000 EUR,
- trzecia pozycja nie została wyceniona.
Odkrywca błędów zażądał zakupu 4 komputerów po ok. 6000 PLN sztuka (dlaczego tak? nie mamy pojęcia) plus 10 000 PLN od firmy obsługującej ofiarę plus wpłaty na schronisko dla zwierząt – a to wszystko przekazane w formie bitcoinów na jego konto.
Komentarz
Mógłbym długo komentować, ale chyba na razie pozostanę przy przewracaniu oczami i ciężkich westchnięciach, a głos zabierze Michał Opala, adwokat w kancelarii Sołtysiński Kawecki & Szlęzak:
Polskie prawo karne przewiduje odpowiedzialność za uzyskanie nieuprawionego dostępu do systemu informatycznego. Modelowo mamy do czynienia z pentestami zleconymi w ramach organizacji albo zamówionymi od dostawcy zewnętrznego. W takim wypadku badacze mają zgodę na dostęp do systemu. Natomiast badacz działający bez zgody i wiedzy dysponenta systemu musi spełnić szereg przesłanek, aby skorzystać z wyłączenia karalności za przestępstwo hackingu. Po pierwsze, musi działać wyłącznie w celu zabezpieczenia systemu lub opracowania metody zabezpieczenia – prawo nie chroni „szarych kapeluszy”. Po drugie, konieczne jest niezwłoczne powiadomienie uprawnionego do systemu o ujawnionych zagrożeniach czy podatnościach. Po trzecie, działanie badacza nie może naruszać interesu publicznego ani prywatnego, jak również nie może wyrządzać szkody.
Niezamawiane testy bezpieczeństwa fizycznego mogą wiązać się również z odpowiedzialnością za przestępstwo naruszenia tzw. miru domowego. Osoba, która wdziera się do cudzego lokalu czy pomieszczenia, posługując się nie tylko przemocą czy groźbą, ale też podstępem, może popełniać to przestępstwo. Dodatkowo w niektórych przypadkach podszywanie się pod inną osobę może być również karalne. Chodzi o przypadki, kiedy osoba, której tożsamość została wykorzystana, poniosła szkodę majątkową lub osobistą.
Jeśli szantaż polega na groźbie upublicznienia kompromitujących informacji albo na zawiadomieniu organów ścigania lub organów administracji, które mogą nałożyć administracyjną karę pieniężną, to taki przypadek może realizować znamiona przestępstwa zmuszania, określone w art. 191 kodeksu karnego.
Prowadzenie testów bezpieczeństwa bez umowy lub wcześniejszej zgody dysponenta systemów wiąże się z ryzykiem prawnym. Nawet znając przesłanki pozwalające na uniknięcie odpowiedzialności karnej, nie mamy pewności, jak je oceniać będzie podmiot, który poddaliśmy badaniu, a także prokurator. Dodatkowym elementem ryzyka jest prowadzenie testów w środowiskach produkcyjnych przetwarzających dane osobowe. Nieuprawiony dostęp do takich danych jest kolejnym problemem, którego nie rozwiązuje nawet natychmiastowe i pełne ujawnienie.
Co robić, by nie iść do więzienia
Podsumowując: dzieciaki, nie popełniajcie przestępstw.
Jeśli znaleźliście podatność, to po prostu zgłoście to poszkodowanemu, wprost, bez aluzji i kombinowania. Wtedy nie powinny was spotkać problemy.
Porzućcie sny o pozyskaniu w ten sposób bogactw tego świata – żadna szanująca się firma nie zapłaci anonimowemu szantażyście (a już na pewno nie 30 000 EUR za metodę wejścia do biura bez przepustki). No, może kasyno albo giełda kryptowalutowa. Ale wspominałem coś o szanujących się firmach.
Chcecie zarabiać, to albo idźcie do pracy jako pentesterzy, albo bierzcie udział w ogłoszonych programach bug bounty.
No, chyba że chcecie zostać przestępcami. Wtedy idźcie gdzie indziej, OK?
Epilog
Nie będę wskazywał firmy, której incydent dotyczy. Na pewno kojarzycie tę markę. Co prawda, osoba zgłaszająca swoje wybryki wspomniała, że nazwę firmy z treści cytowanej korespondencji usunęła, ale zrobiła to, jak cały ten wybryk, dość niechlujnie, zostawiając ją w jednym miejscu wraz z imieniem osoby po drugiej stronie. Firma, zapytana przez nas, potwierdziła, że jest świadoma sytuacji i podejmuje niezbędne działania. I tyle nam wystarczy.
Komentarz
Implikacja umieszczona na obrazku dołączonym do artykułu jest fałszywa.