Бесплатно Экспресс-аудит сайта:

16.09.2020

ИБ-эксперты обвинили Voatz в недобросовестности

Рассматриваемое в Верховном суде США дело, которое может привести к изменениям в федеральный закон «О компьютерном мошенничестве и злоупотреблении» (CFAA), предполагающим наказание за «неправомерное» использование технологий, не разрешенное производителем ПО, станет препятствием в исследованиях безопасности. Такое мнение содержится в открытом письме , подписанном почти 70 исследователями в области безопасности и ИБ-компаниями, включая специалистов Мичиганского Универсистета, Университета Джона Хопкинса, Bugcrowd, HackerOne и Trail of Bits.

Открытое письмо стало ответом на направленное в Верховный суд экспертное заключение разработчика приложения для голосования Voatz, в котором компания утверждает, что испытательные лаборатории, аудиты безопасности и программы выплат за уязвимости являются авторизованными формами тестирования защиты, и этого достаточно, чтобы гарантировать безопасность. В свою очередь, независимые аудиты кода и тесты на проникновение, не являются авторизованными мерами и должны подпадать под действие CFAA как «превышающие авторизованный доступ».

Речь идет об апелляции по делу сержанта полиции из штата Джорджия Нэйтана Ван Бурена (Nathan Van Buren), который был признан виновным в использовании государственной базы данных в корыстных целях. Имея официальный доступ к БД, Ван Бурен воспользовался ею для своей выгоды, чем, по мнению прокуратуры, нарушил CFAA.

Как опасаются ИБ-эксперты, если Верховный суд решит, что Ван Бурен действительно преступил закон, это может превратить независимое исследование уязвимостей в «неавторизованный доступ» и, следовательно, повлечь уголовное наказание.

В письме подписавшиеся указывают, что исследование безопасности является жизненно важной мерой и улучшает безопасность систем в сфере голосования, здравоохранения, транспортной сфере и пр.

Эксперты обвинили Voatz в недобросовестности по отношению к исследователям безопасности, а также припомнили компании решение «сдать» властям студента Мичиганского Университета, обнаружившего уязвимость в ее приложении, ссылаясь на «неавторизованный доступ». В свою очередь представители Voatz заявили, что ИБ-эксперт не принимал участие в программе bug bounty компании, и это была неудавшаяся попытка «внести изменения в систему в реальном времени во время выборов».