安全研究人员报告一漏洞：被罚 2.4 万元

德国一名安全研究人员因发现并报告电子商务数据库中的漏洞而被罚款 3000 欧元（2.35 万元人民币）。

早在 2021 年 6 月，这位名叫 Hendrik H. 的研究人员在为 IT 服务公司 Modern Solution GmbH 的客户排查软件故障时，无意中发现了这个漏洞。

他发现，Modern Solution 的代码通过 MySQL 连接至一台 MariaDB 数据库服务器。该程序以明文形式存储访问远程服务器的密码，任何人都可以轻松访问服务器。

这个数据库漏洞暴露了近 70 万条客户记录，包括个人详细资料和密码。

这些信息不仅属于 Modern Solution 的客户，还属于这家供应商存储在同一台数据库服务器上的其他客户。

Modern Solution 的程序文件 MSConnect.exe 在网上唾手可得，任何人使用简单的文本编辑器就能打开该文件，查看文件里面的内容，并找到未加密的硬编码密码。

Hendrik H. 在报告漏洞后面临法律后果。

Modern Solution 指控他通过内部信息获得了密码，并声称他是竞争对手。

根据德国刑法，他被指控非法访问数据。

2023 年 6 月，德国于利希地方法院作出了对 Hendrik H 有利的裁定，称该软件没有得到充分保护。然而，亚琛地区法院指令于利希地方法院再次审理此案，原先的裁定被推翻。

于利希地方法院对 Hendrik H. 处以罚款，并勒令他支付诉讼费。这一判决在广大网络安全专家和研究人员当中引起了争议。

Wladimir Palant 是一名安全研究人员兼软件开发人员， 还是德国广告过滤公司 eyeo 的联合创始人，他在 Mastodon 上发帖表示对这家地方法院的裁决备感失望。

Palant 写道：“我多么希望下一次的裁决会再度推翻这一裁定。但这正是人们所担心的：无论所谓的‘保护’存在多大的缺陷，此案依照德国法律将安全研究变成了黑客犯罪活动。于利希地方法院的裁决对合法的安全研究造成了寒蝉效应，并让许多公司可以逃避安全措施不力的责任，最终危及广大用户的安全。”

尽管要求罚款，但判决尚未具有法律约束力，双方都可以选择上诉。

据报道，Hendrik H. 打算对这一裁决提出异议。

此案突显了安全研究人员负责任的披露与他们在报告系统漏洞时可能造成的法律影响之间的微妙平衡。