ИБ-эксперты обвинили Voatz в недобросовестности
15 сентября 2020 года
Рассматриваемое в Верховном суде США дело, которое может привести к изменениям в федеральный закон «О компьютерном мошенничестве и злоупотреблении» (CFAA), предполагающим наказание за «неправомерное» использование технологий, не разрешенное производителем ПО, станет препятствием в исследованиях безопасности. Такое мнение содержится в открытом письме, подписанном почти 70 исследователями в области безопасности и ИБ-компаниями, включая специалистов Мичиганского Универсистета, Университета Джона Хопкинса, Bugcrowd, HackerOne и Trail of Bits.
Открытое письмо стало ответом на направленное в Верховный суд экспертное заключение разработчика приложения для голосования Voatz, в котором компания утверждает, что испытательные лаборатории, аудиты безопасности и программы выплат за уязвимости являются авторизованными формами тестирования защиты, и этого достаточно, чтобы гарантировать безопасность. В свою очередь, независимые аудиты кода и тесты на проникновение, не являются авторизованными мерами и должны подпадать под действие CFAA как «превышающие авторизованный доступ».
Речь идет об апелляции по делу сержанта полиции из штата Джорджия Нэйтана Ван Бурена (Nathan Van Buren), который был признан виновным в использовании государственной базы данных в корыстных целях. Имея официальный доступ к БД, Ван Бурен воспользовался ею для своей выгоды, чем, по мнению прокуратуры, нарушил CFAA.
Как опасаются ИБ-эксперты, если Верховный суд решит, что Ван Бурен действительно преступил закон, это может превратить независимое исследование уязвимостей в «неавторизованный доступ» и, следовательно, повлечь уголовное наказание.
В письме подписавшиеся указывают, что исследование безопасности является жизненно важной мерой и улучшает безопасность систем в сфере голосования, здравоохранения, транспортной сфере и пр.
Эксперты обвинили Voatz в недобросовестности по отношению к исследователям безопасности, а также припомнили компании решение «сдать» властям студента Мичиганского Университета, обнаружившего уязвимость в ее приложении, ссылаясь на «неавторизованный доступ». В свою очередь представители Voatz заявили, что ИБ-эксперт не принимал участие в программе bug bounty компании, и это была неудавшаяся попытка «внести изменения в систему в реальном времени во время выборов».
Источники[править]
Эта статья содержит материалы из статьи «ИБ-эксперты обвинили Voatz в недобросовестности», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии[править]
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.