Sicherheitsforscher von FBI durchsucht, weil er öffentlich zugängliche Daten gefunden und gemeldet hat

FBI durchsucht das Haus eines Forschers, der das Unternehmen über öffentlich zugängliche Daten informierte

Das passiert in Amerika wieder. Nachdem ein Sicherheitsforscher wegen der Aufdeckung von Schwachstellen auf einer Wahl-Website verhaftet wurde, hat das FBI nun das Haus des Forschers durchsucht, der ein Unternehmen über öffentlich zugängliche Daten informiert hatte.

Es scheint, als könnten die Gesetzeshüter in Amerika nicht zwischen Cyberkriminellen und echten Sicherheitsforschern unterscheiden, die es sich zur Aufgabe gemacht haben, Unternehmen/Behörden zum Wohle der Allgemeinheit über Schwachstellen zu informieren. Das Haus von Justin Shafer, 36, aus Texas, einem Zahntechniker und Sicherheitsforscher, wurde von über einem Dutzend FBI-Agenten durchsucht, die in der Vergangenheit Sicherheitsprobleme in der Software und Serverinfrastruktur eines in den USA ansässigen Gesundheitsdienstleisters gemeldet hatten, berichtet The Daily Dot.

Vor der Durchsuchung seines Hauses hatte Shafer im Februar eine Schwachstelle in der Praxismanagement-Software Eaglesoft an den Hersteller Patterson Dental gemeldet, die private Patientenakten auf einem öffentlich zugänglichen FTP-Server speicherte. Eaglesoft wird von Patterson Dental, einer Tochtergesellschaft von Patterson Companies, hergestellt.

Shafer entdeckte dies, während er die Eaglesoft-Software des Unternehmens untersuchte. Er suchte nach den hardcodierten Datenbank-Anmeldeinformationen, als er einen anonymen FTP-Server entdeckte, auf den jeder zugreifen konnte. Shafer informierte das Unternehmen sowie CERT.

Shafer arbeitete mit DataBreaches.net zusammen, um den FTP-Server mit Patterson Dental zu sichern, und machte seine Erkenntnisse Mitte Februar öffentlich. Der ungesicherte Eaglesoft-FTP-Server legte sensible Informationen über etwa 22.000 Patienten offen, und Shafer behauptet, dass dies bereits seit 2006 der Fall sei.

Ende März veröffentlichte auch US-CERT eine Warnung zu den Problemen der Eaglesoft-Software von Patterson Dental, die mit den hardcodierten Datenbank-Anmeldeinformationen zusammenhingen. Es schrieb: „Ein Angreifer mit Kenntnis der hardcodierten Anmeldeinformationen und mit Netzwerkzugang zur Datenbank könnte in der Lage sein, sensible Patienteninformationen zu erhalten.“ CERT fügte hinzu, dass es „derzeit keine vollständige Lösung für dieses Problem“ kenne.

Doch einige Monate später wurden Shafer und seine Frau, die friedlich schliefen, am letzten Dienstagmorgen um 6:30 Uhr Ortszeit durch die Türklingel geweckt, die ununterbrochen läutete. Später hörte die Familie lautes Klopfen an ihrer Tür.

„Mein erster Gedanke war, dass mein Vater gestorben ist“, sagte Shafer in einem Telefoninterview mit dem Daily Dot, „aber als ich zur Tür ging, sah ich all die blinkenden blauen und roten Lichter.“

Mit dem weinenden Baby, das sich vor dem Lärm fürchtete, öffnete Shafer die Tür und fand schätzungsweise 12 bis 15 FBI-Agenten vor. Einer „richtete eine ‚große grüne‘ Sturmwaffe auf mich“, sagte Shafer dem Daily Dot, „und das Babybett war nur wenige Fuß von der Tür entfernt.“

Die Agenten sollen Shafer aufgefordert haben, seine Hände hinter den Rücken zu legen. Während sie ihn fesselten, weinte seine 9-jährige Tochter vor Angst, sagte Shafer. Seine Frau versuchte den Agenten zu sagen, dass drei kleine Kinder im Haus seien, aber das schien sie nicht zu interessieren.

Einmal gefesselt, wurde Shafer nach draußen geschleppt, während er noch seine Boxershorts trug, „ohne zu wissen, was vor sich ging oder warum.“

Die Agenten beschlagnahmten in den nächsten Stunden alle Computer und Geräte von Shafer – „und sogar meine Dentrix-Magazine“, sagte Shafer. „Das einzige, was sie zurückließen, war das Handy meiner Frau.“ Die Liste der beschlagnahmten Gegenstände zeigt, dass die Bundesagenten 29 Artikel mitnahmen.

Was war sein angebliches Verbrechen? Verantwortliche Offenlegung. Anstatt den Forscher für seine ordnungsgemäße Offenlegung eines sensiblen Datenlecks zu danken, reichte Patterson Digital eine Beschwerde bei den örtlichen Behörden wegen Hacking ein.

FBI-Agenten teilten Shafer während der Durchsuchung des Hauses mit, dass Patterson Dental behauptet hatte, er habe „die autorisierte Zugriffsberechtigung überschritten“, als er das Problem des öffentlich zugänglichen FTP-Servers untersuchte.

Jeder hätte auf den Server zugreifen können, es ist nicht so, als wäre er gesichert gewesen. Shafer sagte dem Daily Dot, dass der FTP-Server seit Jahren ungesichert war.

In einer E-Mail-Erklärung schrieb er:

„Viele IT-Leute in der Zahnmedizin wissen, dass die Patterson-FTP-Seite seit vielen Jahren ungesichert ist. Ich erinnere mich tatsächlich daran, dass sie 2006 eine passwortgeschützte FTP-Seite hatten. Um das Passwort zu erhalten, musste man den technischen Support von Eaglesoft/Patterson Dental anrufen, und sie gaben dir einfach das Passwort für die FTP-Seite, wenn du etwas herunterladen wolltest. Es hat sich nie geändert. Irgendwann machten sie die FTP-Seite anonym. Ich denke, das war um 2010.“

Dies ist nicht das erste Mal, dass Shafer mit diesem Problem aus der Gesundheitsbranche konfrontiert wurde. In der Vergangenheit hatte der Forscher herausgefunden, dass Henry Schein falsche Behauptungen aufstellte, dass seine Dentrix G5-Software Verschlüsselung verwendete. Shafers Erkenntnisse führten zu einer weiteren US-CERT-Warnung und einer Geldstrafe von der FTC.