miércoles, 11 de mayo de 2016

Arrestado por publicar vulnerabilidades (sin permiso) de un sitio web estatal

Fuente: http://blog.segu-info.com.ar/

El investigador de seguridad David Michael Levin (31) encontró y divulgó vulnerabilidades en un par de sitios web de las elecciones de Florida y terminó con las manos esposadas y con cargos penales.
Levin fue arrestado y acusado de tres cargos por "acceso no autorizado a una computadora, red o instrumento electrónico" y pasó seis horas en la cárcel antes de ser liberado bajo una fianza de U$S15.000.

Según la policía de Florida, Levin accedió ilegalmente al sitio web del Condado de Lee el pasado 19 de diciembre utilizando credenciales robadas. Este evento fue seguido por otros dos, el 4 y el 31 de enero de 2016, cuando Levin hackeó el sitio web de las elecciones estatales.

Levin publicó un video en YouTube a finales de enero y mostró como accedía con el usuario y contraseña de Sharon Harrington, el Supervisor de las elecciones del Condado, para hacerse con el control del sistema de gestión de contenidos (CMS) del sitio. Levin grabó el video junto a Dan Sinclair, el candidato contrario de Harrington para el puesto.

Levin usó el conocido software gratuito Havij para probar las vulnerabilidades SQL en el sitio web y detalló cómo con una simple inyección SQL se podía robar la base de datos de las elecciones, que no tenía ningún cifrado.


Casi dos semanas después de la publicación del video, la policía de Florida allanó la casa de Levin. Según la policía, Levin nunca pidió permiso antes de realizar su pruebas en un servidor propiedad del estado y accedió a zonas que estaban protegidas por contraseña. "La ley del estado es bastante clara. Necesita tener autorización antes de hacer eso."

Mientras que algunos investigadores han felicitado a Levin por revelar los agujeros de seguridad en el sitio web, el reconocido investigador australiano Troy Hunt dijo que, "al darse cuenta de lo que había descubierto, Levin debió detenerse inmediatamente y ponerse en contacto con las autoridades".

Aunque es común que los investigadores busquemos fallos de seguridad en sitios web, el fallo debe informarse responsablemente a la autoridad respectiva, antes de hacerlo público.

No hay comentarios:

Publicar un comentario en la entrada

Te agradezco tus comentarios. Te esperamos de vuelta.