به گزارش ترفندستان, به نقل از زرو ان نت, دو محقق امنیت و کارفرما بعد از یافتن اسیب پذیری ای روی سایت "فروم بین المللی جرائم سایبری" بازداشت شدند.

مسئولین این سایت از اندو به دلیل دسترسی بی اجازه به سیستم انفورماتیک خود شکایت کرده اند.

مراقب باشید چون محقق امنیتی بودن همیشه بی خطر نیست و این را این دو کارفرمای جوان که به تازگی شرکت Cesar Security را که در کارهای امنیتی و یافتن اسیب پذیری و پیشگیری از کلاهبرداریهای بانکی تخصص دارد را تاسیس کرده اند تائید خواهند کرد.

ایندو هفته گذشته اسیب پذیری ای روی سایت "فروم بین المللی جرائم سایبری" که دوشنبه تا سه شنبه در لیل برگزار خواهد شد یافتند.

انها میگویند این اسیب پذیری انقدرها حاد نبود اما با اینهمه اجازه دسترسی به پایگاه داده شرکت کنندگان در فروم را فراهم میساخت. این اسیب پذیری اکنون اصلاح شده است اما برای چهره سایتی که هر ساله در زمینه امنیت سایبری کنفرانس برگزار میکند خوب نبود.

ایندو محقق تصمیم گرفتند که کارها را به درستی انجام دهند و به همین دلیل بعد از هشداری روی توئیتر با ناشر سایت یعنی در واقع کمپانی اروپائی هوش استراتژیک که بکی از برگزار کنندگان کنفرانس فروم امنیت و جرائم سایبری است تماس گرفتند.

در این تماس تلفنی خیلی خوب با انها برخورد شده و انها جزئیات کشف خود را توضیح داده و گزارش فنی اسیب پذیری همراه با اصلاحیه ان و موافقتنامه محرمانه نگاهداشتن جزئیات و نرخ یافتن اسیب پذیریها را برای انها ارسال کردند.

S. Oukas, یکی از ایندو محقق میگوید : "در ابتدا ما به انها پیشنهاد یافتن اسیب پذیریها را بطور رایگان کردیم اما او (ناشر سایت یعنی در واقع کمپانی اروپائی هوش استراتژیک) به ما گفت که این برای انها مشکلی تولید نمیکند (پرداخت هزینه) و از ما خواست که یک پیش فاکتور تخمینی برای انها بفرستیم."

سپس در بیست ژانویه به دلیل اینکه از انها خبری دریافت نکرده بودند مجددا توئیت جدیدی برایشان ارسال کردند تا از تصمیم نهائی انها اگاه شوند.

روز بعد به طور غیر منتظره ای در ساعت 9 صبح ژاندارم های مرکز مبارزه با جرائم سایبری و دیجیتالی به شرکت ایندو رفته و انها دریافتند که ناشر سایت به دلیل "دسترسی غیر مجاز به سیستم پردازش خودکار داده ها" از انها شکایت کرده است. این جرم دوسال زندان و 60000 یورو جریمه دارد.

تمام ابزار انفورماتیک این شرکت ضبط شده و ,S. Oukas, یکی از ایندو محقق میگوید : "ما همه چیز را از دست دادیم. سه کامپیوتر دفترمان, یک تلفن, یک کامپیوتر شخصی و حتی یک پلی استیشن. ما گمان میکردیم انها شرکت جوان ما را تشویق کنند اما انها ما را به زانو دراورده اند. ما تمام ابزار کار خود را از دست داده و دیگر هیچ کاری نمیتوانیم بکنیم."

اما کمپانی اروپائی هوش استراتژیک چیز دیگری میگوید. Guillaume Tissier, مدیر کل ان میگوید : "این شرکت با ما تماس گرفت اما بی طمع نبود چون خدماتش را به ما پیشنهاد کرد. ما هرگز به انها اجازه اینچنین تحقیقی را نداده بودیم. این یک تحقیق وحشیانه است".

از طرفی این کمپانی از اینکه انها هشدار امنیتی را بصورت عمومی روی توئیتر منتشر کرده اند و همه انرا مشاهده نموده اند اصلا خشنود نیست. Bernard Lamon, وکیل این کمپانی میگوید : "در دادگاه در اطراف این موضوع (انتشار هشدار روی توئیتر) صحبت خواهد شد چون از نظر ما این نوعی فروش اجباری است."

همیشه نیت خوب داشتن برای یافتن اسیب پذیریها کافی نیست. در مقاله ای تحت عنوان[تنها اعضای سایت قادر به دیدن لینک‌ها هستند. ], به روشنی به این موضوع اشاره شده و در پاسخ به پرسش ایا میتوانم روی هر سایتی که شد تمرین هک کنم ؟ امده است "یک هکر اخلاقی ...به قوانین احترام میگذارد و تا زمانیکه اجازه دسترسی به سیستمی را که متعلق به او نیست ندارد به ان رخنه نمیکند و تستی هم معمولا انجام نمیدهد.در این مورد باید قانون هر کشور را نیز دانست و باید دید در ان قانون بخصوص دسترسی و یا رخنه غیر قانونی چگونه تفسیر شده و به چه گفته میشود. این موضوع قابل بحثی است که هنوز بسیاری از هکران در بعضی کشورها با ان مشکل دارند. در بعضی کشورها رخنه ای و یا تستی که بدون کسب اجازه صورت گرفته جرم محسوب میشود و در برخی دیگر با توجه به اینکه هکر مسئولین را بعد از تستهای خود مطلع ساخته و یا حتی روشهای ممانعت از اسیب پذیر بودن سرورها و یا سایتها را با جزئیات برای انها توضیح میدهند مجرم شناخته نمیشود. این همانطور که گفته شد بستگی به رفتار هکر و قانون هر کشور و بعضی اوقات واکنش شرکتها و رای دادگاه ها در صورت شکایت دارد. توصیه میشود که قوانین در زمینه هک و هکر در کشور مورد نظر به دقت مطالعه شوند."

اما خوشبختانه بخت با ایندو محقق یار است چون این موضوع درست در زمانی رخ میدهد که نمایندگان مجلس این کشور به لایحه ای قانونی که برای محافظت هشدار دهندگانی است که اسیب پذیریهای امنیتی را میابند رای داده اند. بر اساس ان اینچنین شخص یا اشخاصی نباید مجازات شوند به شرطی که فورا مدیر اداری یا قانونی یا مسئول سیستم را از ان اگاه کرده باشند. این لایحه قانون که به تصویب رسیده به نفع شرکت Cesar Security تمام خواهد شد حتی با اینکه این وقایع قبل از تصویب این قانون رخ داده اند اما این قانون شامل انها خواهد شد. اما Bernard Lamon میگوید باید دید نظر دادگاه در مورد هشداری که با یک توئیت عمومی روی توئیتر اعلام شده چیست.

این خبر انحصارا برای ترفندستان ترجمه شده و کلیه حقوق مادی و معنوی ان مربوط و متعلق به وب سایت ترفندستان است. کپی این خبر فقط با قید نام ترفندستان مجاز است.