Бесплатно Экспресс-аудит сайта:

13.05.2014

OSVDB обвинила McAfee и S21sec в получении несанкционированного доступа к данным

Open Source Vulnerability Database обвинила антивирусные компании McAfee и S21sec в получении несанкционированного доступа к базе данных уязвимостей. Согласно сообщению , опубликованному в блоге некоммерческой организации, для этого McAfee написала скрипт, сканирующий базу данных и «вытаскивающий» информацию об уязвимостях. За подобные действия OSVDB намерена подать на компанию в суд.

Узнать о том, что McAfee похищает информацию из базы данных, экспертам организации удалось благодаря установленной системе защиты, которая ограничивает количество просмотров с одного web-браузера. Тем не менее, McAfee решила обойти это ограничение путем изменения HTTP referer.

Стоит отметить, что OSVDB продает информацию об уязвимостях. При этом, являясь некоммерческой организацией, она заключила сотрудничество с компанией Risk Based Security, которая продает клиентам лицензии на получение доступа к данным. Видимо, не желая платить за подобную информацию или будучи неудовлетворенной условиями, McAfee решила самостоятельно получать ее.

Как утверждает Брайан Мартин (Brian Martin) из OSVDB, в осуществлении подобных действий были уличены McAfee, испанская S21sec и несколько других компаний. При этом во всех случаях компании знали о необходимости приобретения лицензии.

Тем не менее, Роберт Грэем (Robert Graham) из Errata Security считает, что данные об уязвимостях, расположенные в OSVDB, являются публичными. По его мнению, люди, стоящие за «хищением» информации, могли сделать это исключительно в личных целях или для тестирования нового проекта. Однако с таким заявлением не согласился профессор юриспруденции Майкл Фрейзер (Michael Fraser): «Проблема не в общественно доступных данных, а в том, применяются ли к ним авторские права». Так, по словам юристов, работа по сбору и оформлению информации о брешах, проделываемая экспертами вручную, может подлежать защите в соответствии с законом США об авторских правах.