Niemcy: samobójstwo zatrzymanego po uzyskaniu publicznie dostępnych danych
Dwudziestoletni mężczyzna, Matthias L., który - jak twierdzą media i niemiecka policja - pobrał ("zassał", "zgrabował", nie ma polskiego słowa?) dane użytkowników serwisów StudiVZ i SchülerVZ (ponoć to serwis, który przypomina trochę serwis Nasza-klasa.pl, chociaż znajomości klasowe były raczej pielęgnowane w drugim), po zatrzymaniu i będąc w areszcie - popełnił samobójstwo. Niektóre media nazywają mężczyznę hackerem. Jednak stawiane są również pytania o rolę wydawcy serwisu internetowego, do którego danych mężczyzna potrafił i mógł się dostać. Dlaczego? Dlatego, że - chociaż mężczyzna "uzyskał dostęp" do danych kilku milionów osób - były to tylko "publiczne profile" użytkowników, zaś sam mężczyzna - jak sugerują komentarze - nigdzie się nie włamywał. Padają również pytania o system wymiaru sprawiedliwości i działanie organów ścigania.
Niemiecka wersja heise online opublikowała na ten temat tekst: Selbstmord nach SchülerVZ-Datenklau: VZnet in Erklärungsnot. Pierwotnym źródłem jest tu jednak der Spigel: Der Selbstmord des schülerVZ-Hackers Matthias L. bringt das betroffene Unternehmen und die Justiz in Erklärungsnot.
Mężczyzna, który działał pod nickami "exit-", "3×1t", oraz "matt56444", miał przez kilka dni przed zatrzymaniem negocjować z VZnet Networks - wydawcą serwisu. Chodziło o napisany przez niego program, który pozwalał na gromadzenie informacji z dostępnych w internecie profili użytkowników. W ten sposób mężczyzna miał pobrać informacje o blisko 3 milionach użytkowników internetu (mowa jest o 2.7 miliona; i tak Google ma więcej). Możliwości oprogramowania miały być udokumentowane klipem video, opublikowanym w YouTube (właśnie usiłuję go znaleźć). Wcześniej ujawniono luki bezpieczeństwa serwisów, a w negocjacjach z "Exitem" pojawiła się sugestia, że może on pomóc w naprawieniu luk, ale za wynagrodzeniem. Znamy taką sytuację z polskiego podwórka (por. "Nie można przełamać czegoś, co nie istnieje" - polski wyrok w sprawie SQL Injection), tylko w niemieckiej wersji sugestie odpłatności pochodziły - wedle jednej z wersji wypadków - od pracowników serwisu. Negocjowano na czacie. Pytano chłopaka, dlaczego właściwie zebrał dane? Odpowiedział, że zrobił to dla zabawy ("gar nichts, das war'n just4fun projekt"). Wreszcie zgodził się ujawnić swoją tożsamość i przyjechał do siedziby spółki. Niektórzy twierdzą, że został tam zwabiony.
Źródła podają różne wersje dalszych wypadków: szef IT spółki miał powiedzieć Policji, że chłopak zażądał 20 tys euro za pomoc w uszczelnieniu serwisu. Z innych wersji wydarzeń ma wynikać, że chłopak po prostu zgodził się na współprace, z radością przyjmując oferowane przez spółkę wynagrodzenie. Tak czy inaczej - pojawiła się wezwana przez spółkę Policja, która dokonała zatrzymania, uzasadniając je próbą szantażu. Dwudziestolatek został umieszczony w izolatce, chociaż organy ścigania miały ponoć informację, że cierpi na zaburzenia osobowości. W efekcie zaś tych wszystkich zdarzeń chłopak powiesił się w celi.
Opisane tu zdarzenia miały miejsce w październiku. Teraz w Niemczech toczy się na ten temat ożywiona dyskusja.
PS
W YouTube znalazłem taki film: StudiVZ-, SchülerVZ-, MeinVZ-Crawler (by exit- aka. 3x11t aka. matt56444) R.I.P.:
- Login to post comments
Piotr VaGla Waglowski
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Ukończył Aplikację Legislacyjną prowadzoną przez Rządowe Centrum Legislacji. Radca ministra w Departamencie Oceny Ryzyka Regulacyjnego a następnie w Departamencie Doskonalenia Regulacji Gospodarczych Ministerstwa Rozwoju. Felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również członkiem Rady ds Cyfryzacji przy Ministrze Cyfryzacji i członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>
Czym się w tym przypadku różni szantaż od oferty?
W Polsce, mniej więcej trzy lata temu (jeśli dobrze pamiętam - albo dwa), miała miejsce taka sama historia z portalem nasza-klasa.pl. Tzn. bardzo szybko ujawniono "luki" polegające na możliwości praktycznie automatycznego "ściągnięcia" setek tysięcy pełnych danych z profili, uzywając do tego np. programu MS Excel.
Nikt z tego nie robił afery z aresztowaniem, bo to również była kwestia uprzedniego "upublicznienia" tych profili przez ich posiadaczy, bardziej posłużyło to reklamie.
Natomiast można postawić problem w formie ogólnej. Jeśli istnieje system IT (serwis www) o znacznej wartości rynkowej i ktoś wykryje w nim dość istotną lukę - z perspektywy prawnej czy biznesowej - to czy może oferowac swoje usługi (know how) odpowiedniemu podmiotowi odpłatnie? Zaznaczam że zakładamy, że nie zostało złamane żadne prawo i żaden regulamin korzystania z serwisu.
A w opisywanym przypadku - czy miał miejsce szantaż (tak opisany jak w tekście) czy była to raczej próba (uzasadniona) uzyskania wynagrodzenia za umożliwienie w dobrej wierze naprawienia istotnych niedoskonałości technicznych serwisu?
Ostatnio odnoszę wrażenie, mamy sezon polowań na czarownice. Każdy sprytny informatyk nie bedący zatrudniony w jakiejś korporacji, jeśli wynajduję metodę (legalną!) na rozłożenie na łopatki jakiegoś nobliwego i cennego reklamowo systemu czy serwisu zbudowanego przez "specjalistów" za miliony dolarów, automatycznie staje się hackerem, wrogiem publicznym, kogoś kogo trzeba ścigać a jego działanie ukrócić i zatuszowac najlepiej.
Niestety to jest szersze zjawisko tj. dyskusji (negocjacji) pojedynczej osoby z korporacją (odwołuję sie tutaj do doświadczeń Państwa w kontaktach z operatorami telekomunikacyjnymi).
Myślę że cała sprawa (i wiele podobnych) miałaby inny finał gdyby potoczyła się po myśli firmy z Niemiec. Tzn. gdyby ów informatyk przyszedł do siedziby, wyłożył na stół swój know-how, przekazał go bezpłatnie wraz z opisem, a na koniec przeprosił, że w ogóle ośmielił się podnieść ręke na Serwis, obiecując dodatkowo karnie milczenie na ten temat (prasa, internet). Takie zachowania pochwalają korporacje i, niestety, w większości przypadków tylko takie akceptują.
Głupota podkladającego się
OK, korporacje mają swoją wizję; wegług niej przyjście - i w rezultacie ujawnienie się - do korporacji z luką to próba szantażu. Eksperyment myślowy - a gbyby to przekazać np. mafii? Będzie dyskretnie, może być dochodowo; bezpiecznie będzie mniej-więcej podobnie. A że efekt dla korporacji i jej klientów może być groźniejszy? Cóż...
Coraz częściej przy tego
Coraz częściej przy tego typu sprawach wychodzi na to że lepiej albo od razu lukę nagłośnić (anonimowo) albo, co będzie bardziej dochodowe (bardziej niż pomoc w jej naprawie) sprzedać ją na czarnym rynku, wychodzi też na to że będzie to też o wiele bezpieczniejsze niż legalne załatwienie sprawy.
specjalista czy hacker?
Polecam zapoznanie się z
http://www.securityfocus.com/columnists/448/1
Nie młody już artykuł ale wnosi pewien punkt widzenia do sprawy.
U naszych zachodnich sąsiadów zaczęto postrzegać osoby upubliczniające wiedzę tajemną jako "wrogów publicznych".