W Chinach etyczny haker przekroczył granice

W ciągu ostatniego roku ilość pieniędzy przeznaczanych na zapłatę za usługi etycznych hakerów wzrosły nawet w niektórych firmach dwukrotnie. Prowadzi to do rozrostu rynku testów penetracyjnych i zarazem wzmocnienia bezpieczeństwa w sieciach firmowych. Jednak w Chinach użytkownik programu bug bounty został oskarżony o włamanie do bazy największego serwisu randkowego  Jiayuan.com. Według chińskiego portalu people.com.cn haker Yin Zhengyi, który testował Jiayuan w celu wykrycia luk oraz podatności systemu miał pójść o krok dalej niż nakazuje etyka white hat. W Chinach, dopóki testy penetracyjne nie zostaną zatwierdzone oficjalnie przez zainteresowaną instytucję, to są one nielegalne. Jednak wiele firm, nie zgłasza incydentów, czasami o nich nie wiedzą, czasami dopiero dowiadują się po fakcie takich zdarzeń. Według people.com.cn prawo w tym miejscu jest łagodne i dopóki fakt wykonywania takich działań nie zostanie zgłoszony to policja nie reaguje.

Sytuacja jest o tyle niezwykła, że firma podziękowała hakerowi za odkrycie oraz udostępnienie informacji  bezpiecznym kanałem komunikacji – platformy Sky zarządzanej przez Zhao na której pojawiają się bug bounty i dopiero po miesiącu oskarżyła Zhengyi o kradzież 900 rekordów z bazy danych strony. Po dalszym dochodzeniu policji okazało się, że etyczny haker oprócz przeprowadzenia testów włamał się do systemu i wykradł dane. Może to wynikać z tego, że chciał zarobić więcej, pokazując wyciek danych, lub mógł je chcieć sprzedać na czarnym rynku.

Całą sytuacje dokładnie opisuję portal people.com.cn na podstawie informacji wynikających z zakończonego śledztwa chińskiej policji.

• 3 Grudnia 2015 roku Yuan Wei odnalazł luki w systemie, wieczorem chcąc potwierdzić ich istnienie włamał się do systemu i skopiował kilka baz danych. Następnego dnia powiadamia portal Jiayuan o luce.
• 7 Grudnia po załataniu wszystkich występujących luk, udostępnionych przez hakera firma wysyła podziękowanie do niego.
• 18 Stycznia tego roku firma zawiadamia policję o kradzieży danych ze strony, która miała zostać wykonana za pomocą innego IP niż posiadał haker, później w dochodzeniu ustalono, że używał VPN do maskowania swojego prawdziwego adresu.
• 8 Marca Wei Yuan został zatrzymany przez policję.
• 12 Kwietnia hakerowi zostały postawione zarzuty nielegalnego dostępu do informacji komputerowych. Wymiar oraz rozmiar kary nie jest znany.

Twórca platformy na której Yuan zamieścił informacje o luce w rozmowie z people.com.cn stwierdził, że takie wydarzenie to doskonała okazja na nawiązanie współpracy pomiędzy hakerami a organami ścigania. - Platforma musi współpracować z policją zarówno w kwestii komunikacji jak i wyszukiwania podatności – powiedział Zhao.

Według nieoficjalnych informacji, problem związany z platformami skupiającymi etycznych hakerów ma być omawiany na rządowej konferencji cyberbezpieczeństwa w przyszłym miesiącu.

Czytaj też: Poszukiwacze bugów odpowiedzią na cyberzagrożenia