请注意,安全研究员的工作并非完全没有风险,正如两位年轻企业家刚刚注意到的那样,他们刚刚创建了 Cesar Security,一家专门从事安全审计和银行欺诈预防的公司。上周,他们在该网站上发现了一个缺陷国际网络安全论坛(FIC)将于下周一和周二在里尔举行。
据他们称,该漏洞(现已修复)非常微不足道,但仍然允许访问参与者数据库。对于这样一个每年都会欢迎法国网络安全精英的活动来说,其品牌形象并不好。两人想要把事情做好,于是联系了该网站的发布者,即该活动的联合组织者欧洲战略情报公司(CEIS)。与此同时,他们在 Twitter 上发出警报。
CEIS 安全顾问在电话中亲切地接待了他们,并向他们详细介绍了他们的发现。他们向他发送了一份有关该缺陷的技术报告,其中包含拟议的修复方案、保密协议以及安全审计报价。“最初,我们为他提供了免费审核,但他说没问题,我们可以向他发送成本估算””,两位企业家之一的 S. Oukas 解释道。然后无线电一片寂静,没有更多的消息。 1 月 20 日,他们发送了一条新推文,以“获取新闻”。
第二天,却是一个惊喜。上午 9 点,打击数字网络犯罪中心 (C3N) 的警察敲开了他们的门。他们了解到,该网站的发布者已就“欺诈性访问自动数据处理系统”(STAD) 提出投诉,该罪名可判处两年监禁和 6 万欧元罚款。所有计算机设备均被扣押。“我们失去了一切:办公室里的三台电脑、一部电话、一台个人电脑,甚至还有一台游戏机。我们从很高的地方跌落下来。我们原本以为 FIC 会鼓励一家年轻的初创公司,但他们却让我们屈服了。我们失去了工作工具,我们什么也做不了””,Oukas 先生强调道。
强制出售还是白衣骑士?
就其本身而言,CEIS 对事物的解释并不相同。“这家公司确实联系了我们,但它并不是没有兴趣,因为它向我们提供了服务。我们从未授权他进行这项研究。这是一次疯狂的审计”CEIS 总经理 Guillaume Tissier 估计,他也不喜欢 Cesar Security 在 Twitter 上公开发布安全警报,让所有人都看到。“在法庭上,辩论肯定会围绕这个问题展开,因为这可以被视为强制出售的一种形式”,律师伯纳德·拉蒙(Bernard Lamon)认为。
讽刺的是,这件事却发生在代表们投票表决的时刻。修正案旨在保护发现计算机漏洞的举报人。根据文中规定,这样的人将免予处罚“如果立即通知行政、司法机关或者系统负责人”。该案文如果最终获得通过,仍可能对塞萨尔安全公司有利。“即使事实是先前的,文本也将适用,因为它更宽松””,伯纳德·拉蒙强调道。
