Pengembang Jerman yang mengungkap kredensial yang di-hardcode dalam aplikasi divonis bersalah atas tuduhan 'peretasan'

 (infosec.exchange)
1 poin oleh GN⁺ 2024-01-20 | 1 komentar | Bagikan ke WhatsApp

Hukum Jerman menjadikan riset keamanan sebagai hal yang berbahaya

  • Pengadilan Jerman memvonis seorang pengembang bersalah atas tuduhan 'peretasan'.
  • Pengembang tersebut ditugaskan menyelidiki perangkat lunak yang menghasilkan terlalu banyak pesan log, dan menemukan bahwa perangkat lunak itu membuat koneksi MySQL ke server basis data milik vendor.
  • Saat memeriksa koneksi MySQL itu, ia mengetahui bahwa basis data tersebut berisi bukan hanya data klien, tetapi juga data seluruh pelanggan vendor. Ia segera memberi tahu vendor, tetapi vendor memperbaiki kerentanannya sambil sekaligus melaporkannya secara hukum.

Putusan pengadilan

  • Di pengadilan, ada perdebatan besar mengenai apakah kredensial basis data yang di-hardcode di aplikasi, yang tampaknya disimpan dalam teks biasa dan bahkan tidak memerlukan dekompilasi, cukup sebagai langkah perlindungan untuk membenarkan tuduhan peretasan.
  • Putusan pengadilan menyatakan bahwa karena ada kata sandi, mekanisme perlindungan telah dilewati, dan itu merupakan peretasan.
  • Putusan ini berarti bahwa betapapun cacatnya suatu 'perlindungan', keberadaannya saja dapat mengubah riset keamanan menjadi peretasan kriminal menurut hukum Jerman.

Reaksi komunitas

  • Di komunitas, orang-orang membagikan pandangan mereka tentang kasus ini melalui berbagai analogi.
  • Sebagian berpendapat bahwa penggunaan kredensial yang di-hardcode memang dapat dianggap sebagai peretasan, tetapi niat dan kerugian yang ditimbulkan juga harus dipertimbangkan.
  • Yang lain menyoroti bahwa perangkat lunak vendor tersebut melakukan panggilan ke infrastruktur eksternal yang tidak didokumentasikan dan berpotensi membagikan data sensitif.
  • Mereka juga menyebut perlunya auditor independen yang dilindungi secara hukum, serta masalah yang muncul jika hal itu tidak memungkinkan.

Pendapat GN⁺

  • Kasus ini menunjukkan bahwa tindakan peneliti keamanan yang menemukan dan melaporkan kerentanan dapat disertai risiko hukum.
  • Putusan pengadilan ini menekankan ketegangan antara riset keamanan dan pengungkapan yang bertanggung jawab, serta memicu diskusi penting tentang bagaimana kerangka hukum harus selaras dengan perkembangan teknologi.
  • Ini juga mengisyaratkan bahwa putusan semacam ini dapat menimbulkan efek jera bagi peneliti keamanan, sehingga perusahaan dengan langkah pengamanan yang tidak memadai bisa menghindari masalah, dan pada akhirnya pengguna tetap terekspos pada risiko.

Bacaan terkait

1 komentar

 
GN⁺ 2024-01-20
Komentar Hacker News

  • Judulnya membingungkan dan terkesan mendekati clickbait

    • Judul artikelnya membingungkan dan nyaris clickbait. Sebenarnya masalahnya bukan membocorkan kredensial database, melainkan menggunakan kredensial itu untuk masuk ke server database milik pihak ketiga. Ini menjadi masalah besar karena pasal pidana StGB 202 ff. secara efektif membuat riset keamanan nyaris mustahil di Jerman.

  • Masalah riset keamanan di Jerman

    • Di Jerman, selama sekitar 20 tahun hampir tidak ada insinyur muda yang tertarik pada bidang keamanan, dan yang terlatih pun jarang. Perusahaan-perusahaan besar menyerap semua talenta yang kompeten, dan talenta terbaik pergi ke luar negeri. Akibatnya, sebagian besar UKM Jerman diretas setiap hari, dan karena tidak ada yang melakukan audit, semua yang terhubung ke jaringan menjadi risiko keamanan.

  • Saran hukum

    • Berharap kasus ini akan dibatalkan di pengadilan tinggi adalah pemikiran yang sangat naif. Terdakwa kemungkinan akan membuang waktu bertahun-tahun melewati berbagai tahap peradilan, serta menghabiskan sekitar 100 ribu euro untuk biaya pengacara. Semua ini terjadi karena perusahaan gagal melindungi data mereka dengan benar. Jika tidak ada program bug bounty yang jelas, itu bukan perusahaan Anda, atau Anda tidak dipekerjakan untuk mencari celah, sarannya adalah jangan menjadikan masalah itu sebagai urusan Anda sendiri.

  • Reaksi para profesional keamanan di Jerman

    • Beberapa profesional keamanan informasi Jerman yang berpengalaman begitu marah dengan situasi ini sehingga mereka menolak membantu lembaga pemerintah ketika insiden terjadi. Mereka menggambarkan situasi ini dengan ungkapan "belajar melalui penderitaan".

  • Perbandingan dengan hukum Inggris

    • Saya tidak yakin soal hukum Jerman, tetapi di Inggris ini akan jelas dianggap sebagai penyalahgunaan komputer dan ditangani sebagai kasus yang sederhana.

  • Perlunya revisi hukum

    • Hukum ini tampaknya perlu ditulis ulang. Niat itu penting, dan "peretas" ini tampaknya tidak berniat menimbulkan bahaya. Perusahaannya sendiri yang membuka kerentanan mereka, lalu ingin menghukum orang yang mengungkapkannya.

  • Kasus serupa

    • Ini mirip dengan kasus ketika mendekode nomor jaminan sosial yang "dienkripsi" dengan BASE64 dianggap sebagai "peretasan".

  • Kasus startup makanan di Belanda

    • Saat bekerja sama dengan PostNL, kami sempat bisa mengakses data pelanggan lain, tetapi memutuskan untuk tidak menggunakannya demi menghindari tanggung jawab hukum. Perusahaan seharusnya melaporkan hal ini secara hukum, tetapi tidak melakukannya.

  • Sikap umum terhadap keamanan

    • Banyak kasus "peretasan" pada dasarnya seperti orang membiarkan pintu depan terbuka lebar. Jika pintu dibiarkan terbuka lalu kemalingan, orang biasanya tidak akan bersimpati, tetapi ketika perusahaan lalai soal keamanan, kemarahan justru diarahkan kepada para peretas.

  • Situasi yang bertentangan dengan itikad baik

    • Ini menciptakan situasi di mana jika menemukan masalah, Anda sebaiknya tidak mengatakan apa pun dan tidak melakukan apa pun. Saya jadi penasaran apakah legal untuk berhenti setelah menduga ada masalah, lalu melakukan short selling atas saham perusahaan itu.

  • Cara menghadapi saat menemukan masalah

    • Bahkan jika menemukan masalah, lebih baik mengabaikannya. Sekadar memberi tahu bahwa kata sandinya terlihat saja sudah berarti mengambil risiko. Menggunakan kata sandi itu tentu harus lebih dihindari lagi.

  • Pasal 202a KUHP Jerman

    • Pasal ini menjelaskan tentang "mengakses data yang dilindungi dari akses tidak sah dengan cara khusus", dan kata sandi yang di-hardcode di klien juga termasuk di dalamnya.