Мальтийским студентам грозит срок за нахождение уязвимости

совсем оборзела кровавайя гэбня

конечно же

доступе к приложению без надлежащего разрешения уполномоченного лица

lolwut?

совсем оборзела кровавайя гэбня

lolwut?

under Article 337 of the Criminal Code, which makes it illegal to access an application without being “duly authorised by an entitled person”.

Чиновники они практически везде большим умом не отличаются, особенно в южных странах. В суде адвокаты разъяснят что к чему, и всё окончится благополучно. Никакой кровавой гэбни.

Мальта

Гебня

Там это, демократия же. Стрелочка не поворачивается. А вдруг завтра флаг СШП сожгут?

После обнаружения группа решила отправить электронное письмо FreeHour 18 октября прошлого года, информируя их об уязвимости и призывая исправить ее. Они также дали им трехмесячный срок для устранения уязвимости, прежде чем они обнародуют ее. В электронном письме они также упомянули, что могут потребовать вознаграждение за обнаружение ошибок за свои усилия. Цену своей находки студенты не называли и денег не просили. Однако через месяц после отправки электронного письма FreeHour Шерри, Григоло и Дебоно были арестованы в своих домах и взяты под стражу, где их обыскали с раздеванием и допросили.

Во время допросов они сказали, что полиция задавала им вопросы о том, получила ли группа прямое разрешение от FreeHour на тестирование систем. Они[студенты] утверждали, что, поскольку они идентифицировали себя на сервере, который затем предоставил им доступ к тому, что они запрашивали, они получили авторизацию.

В отношении студентов ведется расследование по статье 337 Уголовного кодекса, согласно которой доступ к приложению без «надлежащего разрешения уполномоченного лица» является незаконным.

Для Ъ: Тяжёлые будни пентестеров в век истерии о персональных данных.

нет, чтобы учились, как всена черном рынке продать

Они также дали им трехмесячный срок для устранения уязвимости, прежде чем они обнародуют ее. В электронном письме они также упомянули, что могут потребовать вознаграждение за обнаружение ошибок за свои усилия.

У нас менты уже притянули бы «вымогательство».

совсем оборзела кровавайя гэбня

конечно же[2]

Они также дали им трехмесячный срок для устранения уязвимости, прежде чем они обнародуют ее. В электронном письме они также упомянули, что могут потребовать вознаграждение за обнаружение ошибок за свои усилия.

У меня была точно такая же реакция на такую наглость.

Вот это меня, кстати, напрягло. Если ты такой добрый, и сообщаешь хозяину о уязвимости в его продукте, с какой стати ты чего-то требуешь взамен, какого-то вознаграждения? Похоже на барыгу, который сначала всучивает какую-то ерунду на посмотреть, а потом требует за нее деньги.

Жуть какая. А если я расскажу, как открыть замок на жигулях без ключа, меня Автоваз засудит?

Компания дает своим пользователям сигнал: нашел в нашем продукте уязвимость — пользуйся по-тихому, только чтобы мы не знали. Отличный план %)

Попробуй, потом расскажешь ощущения

Зря, они таким образом себе же только (и другим компаниям заодно) хуже делают. Если бы как все нормальные конторы выплатили вознаграждение,и тихо заделали дыру - как говорится,и овцы целы,и волки сыты. А так вот найдет следующий анон в их продукции дыру,и что он сделает,посмотрев на пример этих ребят?

У тебя стрелочка пригорела, пошатай.

Зависит от зарплаты программистов, которые это написали, и размера вымогаемого вознаграждения.

Как я понял,они ничего не вымогали. Ну понятно, что не гугл с миллионами,но все-таки могли хоть спасибо сказать,подписку на свои творения там бесплатную дать,не знаю. Зря они так жестко. Ребят жалко,конечно,но они скорее всего отмажутся. А вот репутацию себе эта компашка подпортила.

Пхххх, где подпортила? На Мальте?

Какая разница? Факт в том,что теперь,если кто-то найдет у них уязвимость,они будут последними людьми,кому об этом расскажут. Эталонное ССЗБ же.

Это ж южная страна, там всем просто будет лень связываться с такой компанией, но и менять на другую тоже будет лень, будут пользоваться глюкодромом.

Да и в северных не лучше. Была история как в некоем северном царстве столичная мэрия распилила много хороших денег за сервис школьного дневника, но получившимся гавном пользоваться было совершенно невозможно. Задолбавшись папа одного из школьников написал свою софтину под андроид, которая юзала API господелки, выложил эту софтину в общий доступ и софтина мгновенно набрала популярность. Тады аффторы господелки принялись менять API, папа не унимался и патчил свою софтину. В итоге на папу подали в суд.

Дело было в ЕС и был хэппи-энд.

Есть некоторая разница между тем когда показываешь это на своей машине и на чужой без разрешения и ведома владельца при этом

Считаю студентам нужно подтянуть знания в области местного ук. А опу подтянуть знания о том кто считается порядочным белошляпником

The father's name was Stéphane Lelux, and the app he created was called «OpenSankoré.» The original app that he used the API from was called «Sankoré,» and it was owned by a French company called Legrand.

was it for real?

Yes, the story of Stéphane Lelux and OpenSankoré is a real one. It took place in France in 2011, and it sparked a debate about the use of APIs and intellectual property rights in the development of software applications. Lelux's case highlights some of the challenges and legal complexities that can arise when developers use APIs to create new applications that build upon existing ones.


-----

но ничего из этого не гуглится!!

Пользоваться-то понятно что будут,я ж не про простых юзеров,а про местных white hat. Своими действиями эта компания прямо говорит: «нашли в нашем продукте уязвимость? Эксплуатируйте, продавайте в даркнете, делайте что угодно, только не сообщайте нам об этом. А то поплатитесь!»

А чем ребята из ОП-истории непорядочные?

В суде адвокаты разъяснят что к чему, и всё окончится благополучно. Никакой кровавой гэбни.

Если идиотский закон уже принят и в силе, то адвокаты тут мало чем помогут.

Надо так:

совсем оборзела кровавайя гэбня

так им и надо, паразитам

конечно же

Емнип дело было в Стокгольме. Гуглить мне лень.

Очевидное

«так им и надо, паразитам, нет, чтобы учились, как все, ищут приключений на свою Ж»?

Продали бы уязвимость на чёрном рынке за крипту и проблем не знали бы. А так сами виноваты, а на что они рассчитывали?

Четыре студента нашли уязвимость

Тут пацаны просто не определились, что они хотят: помочь или денег.

По ссылке привкус шантажа и вымогательства.

Это лишний раз показывает, что т.н. responsible disclosure – очень тупая хрень. Поэтому либо продавать, либо full disclosure сразу и пусть все жопы мира горят.

Порядочные вайтхэты сначала договариваются с владельцем сервиса о том что будут проводить пентесты. Здесь же, судя по посту, сначала расковыряли прогу, потом пошли ставить условия владельцу

Ок,возможно. Но владельцев это все равно не оправдывает.

Эт до тех пор пока твоя жопа не сгорела от того что скрипткидисы поимели тебя через full disclosure какой-нить дырки в банковском по или госуслугах

Порядочные вайтхэты сначала договариваются с владельцем сервиса о том что будут проводить пентесты

так он их послал бы лесом со своими пентестами

Ок, а так он исполнил местный закон об уведомлении властей о несанкционированном доступе и парням светит уголовка

Так это банк поимели, а не меня, и банк несёт ответственность.

Если идиотский закон уже принят и в силе, то адвокаты тут мало чем помогут.

На Мальте традиции правосудия скорее британские, чем французские. Прецеденты важнее законов, а прецедентов пока не было.

Это компетентные органы разберутся сам ты деньги перевёл или хакеры украли, или может сообщнику какому доступ от учетной записи дал

Так они не просто нашли уязвимость и попросили (вымогали) вознаграждение, но и успели ей воспользоваться, незаконно получив доступ к чужим данным.

Ещё и группой лиц по предварительному сговору.

Дебилы, что с них взять.

«компетентные органы» звучит как оксюморон, учитывая их вящую некомпетентность почти в любой стране.

На Мальте традиции правосудия скорее британские, чем французские. Прецеденты важнее законов, а прецедентов пока не было.

Студенты там богатые. Всё решат через суд.

Студенты там богатые

Какие нафиг богатые, полунищая страна. У знакомых там дочка отучилась и сейчас живет-работает.

полунищая страна

живет-работает

Пардон, а какой смысл жить и работать в полунищей стране? Я в том смысле, что если уезжать, то куда-то получше.

Кому-то климат нравится, кому-то море вокруг, кому-то уютно-скучная размеренная жизнь. В нищих странах тоже можно найти на вкус и цвет немало плюсов

В нищих странах тоже можно найти на вкус и цвет немало плюсов

только если на фоне окружения ты тоже не нищий

А это в любой стране нужно. Все в мире относительно. Просто если зарабатываето например пятерку, то а лондоне вы будете нищим, а на мальте - королем. Значит, если не отбрасывать нищие страны, то и выбор побольше булет )