Bir Alman mahkemesi, bir BT sorununu araştıran bir programcıyı bilgisayar korsanlığıyla suçladı ve harici bilgisayar sistemlerine yetkisiz erişim ve veriler üzerinde casusluk yaptığı gerekçesiyle 3.000 € (3.265 $) para cezasına çarptırıldı.
Heise’nin orijinal raporuna göre, serbest çalışan bir BT hizmet sağlayıcısı olarak çalışan programcı, başlangıçta bir müşteri tarafından, kullandıkları ürün yönetimi yazılımıyla ilgili aşırı günlük oluşturma sorunlarını çözmekle görevlendirildi.
Programcı yazılımı inceledi ve yönetim yazılımı satıcısı Modern Solution GmbH’ye ait uzak bir sunucuyla MySQL bağlantısı kurduğunu gördü.
Veritabanına bağlandıktan sonra, veritabanının yalnızca kendi müşterisinin verilerini değil aynı zamanda Modern Solution’ın yaklaşık 700.000 diğer müşterisinin verilerini de içerdiği ve bunun önemli bir veri gizliliği sorunu oluşturduğu belirlendi.
Veritabanının diğer şirketlere ait veriler içerdiğini fark eden programcı, uzaktaki veritabanıyla bağlantısını kesti ve yazılım satıcısını siber güvenlik ve gizlilik sorunu konusunda bilgilendirmeye yardımcı olmak için bir teknoloji blog yazarıyla birlikte çalıştı.
Modern Solution GmbH, sistemlerinde bir güvenlik açığı olduğunu inkar ederek sorunu çözmek için sunucuyu çevrimdışına aldı. Programcı ve teknoloji blog yazarı, yönetim yazılımı satıcısının yorumunu beklemeden aynı gün içinde sorunu hızla açıkladı.
Kısa süre sonra şirket, programcıyı ifşa edilen verilere ve veritabanı sunucusuna yetkisiz erişim nedeniyle polise bildirdi.
Düz metin olarak saklanan şifre
Programcı, teknoloji blogu Word Filters’a, yönetim yazılımının İnternet üzerinden bir MySQL sunucusuna bağlanırken bulunduğunu söyledi.
Veritabanı bağlantısının ne için olduğunu belirlemek için programcı, yönetim yazılımının yürütülebilir dosyalarından birinden MySQL veritabanı bağlantısının düz metin şifresini çıkardı.
İddia makamı, sanığın yazılımı derlemeye kadar gittiğini savundu. Ancak Heise, programcının düz metin parolasını bulmak için MSConnect.exe yürütülebilir dosyasındaki dizeleri listelediğini doğruladı.
Ancak mahkeme, şifreyle korunan verilere yetkisiz erişimin, Alman Ceza Kanunu’nun Hacker Paragrafı olarak da bilinen 202c Bölümünü ihlal ettiğine karar verdi.
Hakim, bilgisayar korsanlığıyla ilgili 2007 yılında yapılan bir yasa değişikliğine atıfta bulunarak, korumanın suçu garanti altına almak için sağlam olması gerekmediğini vurguladı.
Ancak hakim, danışmana daha önceki temiz sicilini göz önünde bulundurarak bir miktar hoşgörü göstererek, savcılığın talep ettiğinden daha düşük bir para cezası verdi.
Sanığın avukatı, müvekkilinin kamu yararına hareket ettiğini, güvenlik aşımı konusunda yazılım satıcısını sorumlu bir şekilde bilgilendirdiğini savundu ve mahkemenin konuyla ilgili görüşlerini güncelliğini yitirmiş olmakla eleştirdi.
Programcı karara itiraz etmeye karar verdi ve dava, kararın hukuki bir emsal olarak önemli bir rol üstlenebileceği Aachen’deki daha yüksek bir bölge mahkemesine devredilecek.