Программист, сообщивший клиентам корпорации о наличии дыры в почтовой системе, которой они пользуются, на шестнадцать месяцев сел за решетку, пишет SecurityFocus.

Брет Макдейнел, бывший сотрудник корпорации Tornado Development, предоставляющей клиентам услуги веб-почты, обнаружил в системе веб-почты дыру, позволяющую злоумышленнику перехватывать логин и пароль пользователей и таким образом получать доступ к их корреспонденции. Макдейнел проинформировал о наличии дыры руководство Tornado, однако никакой реакции от руководства не последовало. Через некоторое ощутимое время после поступления информации дыра по-прежнему не была закрыта, хотя на сайте компании клиентам, естественно, обещан защищенный почтовый сервис. Макдейнел уволился из компании, и через полгода обнаружил, что дыра на месте. Не рассчитывая более на отзывчивость руководство, он под псевдонимом Secret Squirrel разослал примерно 5600 клиентам Tornado письмо, в котором сообщал им о наличии дыры и предлагал получить всю необходимую информацию о ней на своем собственном веб-сайте. Администрация компании в ответ постаралась уничтожить разосланные письма в клиентских почтовых ящиках, чтобы клиенты не узнали об уязвимости и подала на Макдейнела в суд. Проблему с безопасностью почтовой системы руководство в итоге решило.

Суд приговорил Макдейнела к шестнадцати месяцам тюремного заключения, которое Макдейнел сейчас и отбывает. Его апелляция будет рассматриваться апелляционным судом девятого округа. Макдейнела обвинили в "причинении ущерба целостности" компьютерной сети Tornado Development (хотя отсутствуют данные о том, что кто-либо воспользовался дырой в почтовом сервисе, пока она не была закрыта). Следует также отметить, что Макдейнел пострадал за публикацию информации, которая предположительно должна защищаться первой поправкой к конституции США. Обвинение поставило ему в вину факт публикации неверной информации, полезной для потенциальных взломщиков и призванной причинить неудобства компании. Таким образом, Макдейнел сел в тюрьму лишь за факт распространения информации об уязвимости в системе, что может стать опасным прецедентом для американских экспертов по безопасности, если апелляционный суд не снимет с Макдейнела обвинение.

SecurityFocus, Slashdot

версия для печати