Varslet om sikkerhetshull, ble politianmeldt

Varslet om sikkerhetshull, ble politianmeldt

En australsk sekstenåring som avslørte et sikkerhetshull er under politietterforskning.

Politiet i delstaten Victoria, Australia, har startet etterforsking av en tenåring som fant og varslet om et sikkerhetssårbarhet i en offentlig database.

Sekstenåringen fant en såkalt SQL-Injection-svakhet i en database eid av Public Transport Victoria (PTV). De driver det offentlige transportsystemet i delstaten.

Tilgang til sensitive data

Slike svakheter kan brukes til å gjøre skade for eksempel ved å sette hele datasystemet ut av spill, eller til å tappe databasen for informasjon.

I dette tilfellet ga svakheten tilgang til 600.000 oppføringer med adresser, epost, passord, fødselsdatoer, honnørkort, telefonnummer og delvis tilgang til kredittkortnummer.

I løpet av julehelga varslet han PTV på tretten forskjellige epostadresser.

Transportselskapet responderte med å anmelde ulovlig innbrudd i egne datasystemer til politiet.

Hvithackere og crackere

I denne vår verden av sårbarheter og sikkerhetshull er det vanligvis to hovedtyper av it-eksperter som jobber med dem. Det ene er hvite hackere, som gjerne på fritida leter etter slike svakheter og varsler eieren av programvaren om at noe er galt. De andre er kriminelle hackere, «crackere», som lever av å utnytte slike kjente svakheter til personlig vinning gjennom svindel, bedrag og annet i kriminalregisteret.

Tenåringen det er snakk om her er selverklært «hvit» hacker som leter etter svakheter for å varsle om dem.

- Jeg fant en stor og åpen sårbarhet på nettstedet til PTV som ga meg tilgang til sensitiv informasjon lagret i serveren. Jeg mente det var rett å melde fra om dette, men var usikker på hvor jeg skulle henvende meg, sier han til nyhetstjenesten.

Medier etter varsling

Etter å ha ventet og ikke fått noen form for respons, tok han kontakt med The Age, en stor dagsavis i Melbourne. Gjennom journalisten der fikk han vite at han var anmeldt til politiet.

Det er vanlig høflighetsrutine for hvite hackere at de først melder til eieren av et sårbart system, men dersom respons derfra mangler, skal sårbarheten offentliggjøres på annen måte. For eksempel gjennom media.

Angrep, ikke varsling

En talsperson for PTV sier at anmeldelsen var ren rutine for slike saker, og ville ikke svare på om PTV ville ha varsleren rettsforfulgt eller ei, melder nyhetstjenesten til Computerworld.

PTV hevder at databasen som ble avslørt ikke var koplet til sanntidsbetalingssystemene for kollektivtransport, og at databasen heller ikke lenger er i produksjon.

PTV omtaler avsløringen som et dataangrep, ikke varslingssak. De har også er rapportert det som et innbrudd til det lokale datatilsynet i delstaten som et mulig personvernangrep.

Den anmeldte tenåringen tar det hele med ro.

- Jeg var forberedt på at de kom til å gå etter meg for å dekke over eget slurv i sikkerhetsarbeidet. Jeg er trygg på at jeg ikke har gjort noe ulovlig.

Les om: