Ricercatore di sicurezza perquisito dall'FBI per aver trovato e segnalato dati esposti pubblicamente

L’FBI perquisisce la casa del ricercatore che ha avvisato l’azienda di dati esposti pubblicamente

Questo accade di nuovo in America. Dopo aver arrestato un ricercatore di sicurezza per aver esposto vulnerabilità in un sito web delle elezioni, ora l’FBI ha perquisito la casa del ricercatore che aveva segnalato dati esposti pubblicamente a un’azienda.

Sembra che le forze dell’ordine in America non riescano a distinguere tra criminali informatici e veri ricercatori di sicurezza che si prendono la responsabilità di segnalare vulnerabilità a aziende/autorità per il bene comune. La casa di Justin Shafer, 36 anni, del Texas, un tecnico informatico dentale e ricercatore di sicurezza software, è stata perquisita da oltre una dozzina di agenti dell’FBI che in passato avevano segnalato problemi di sicurezza nel software e nell’infrastruttura server di un fornitore di servizi sanitari con sede negli Stati Uniti, riporta The Daily Dot.

Prima di avere la casa perquisita, Shafer aveva segnalato una vulnerabilità nel software di gestione della pratica Eaglesoft al produttore Patterson Dental a febbraio, che stava memorizzando registri privati dei pazienti in un server FTP accessibile pubblicamente. Eaglesoft è prodotto da Patterson Dental, una divisione di Patterson Companies.

Shafer ha scoperto questo mentre stava indagando sul software Eaglesoft dell’azienda. Stava cercando le credenziali del database hard-coded quando ha scoperto un server FTP anonimo a cui chiunque poteva accedere. Shafer ha avvisato l’azienda e anche il CERT.

Shafer ha collaborato con DataBreaches.net per mettere in sicurezza il server FTP con Patterson Dental e ha reso pubbliche le sue scoperte a metà febbraio. Il server FTP non sicuro di Eaglesoft esponeva informazioni sensibili su circa 22.000 pazienti, e Shafer afferma che ciò è avvenuto già nel 2006.

Alla fine di marzo, l’US-CERT ha anche pubblicato un avviso sui problemi del software Eaglesoft di Patterson Dental, relativi alle sue credenziali del database hard-coded. Ha scritto: “Un attaccante con conoscenza delle credenziali hard-coded e con accesso di rete al database potrebbe essere in grado di ottenere informazioni sensibili sui pazienti.” Il CERT ha aggiunto che era “attualmente ignaro di una soluzione completa a questo problema.”

Tuttavia, avanzando di diversi mesi, Shafer e sua moglie, che stavano dormendo profondamente, sono stati svegliati alle 6:30 del mattino locale martedì scorso dal campanello che ha iniziato a suonare continuamente. Più tardi, la famiglia ha sentito un forte colpo alla loro porta.

“Il mio primo pensiero è stato che mio padre fosse morto,” ha detto Shafer al Daily Dot in un’intervista telefonica, “ma poi, mentre andavo verso la porta, ho visto tutte le luci blu e rosse lampeggianti.”

Con il bambino che piangeva spaventato per il rumore, Shafer ha aperto la porta per trovare quello che stimava essere da 12 a 15 agenti dell’FBI. Uno stava “puntando un’arma d’assalto ‘grande e verde’ contro di me,” ha detto Shafer al Daily Dot, “e la culla del bambino era a pochi passi dalla porta.”

Gli agenti avrebbero ordinato a Shafer di mettere le mani dietro la schiena. Mentre lo ammanettavano, sua figlia di 9 anni piangeva terrorizzata, ha detto Shafer. Sua moglie ha cercato di dire agli agenti che c’erano tre bambini piccoli in casa, ma apparentemente non gliene importava.

Una volta ammanettato, Shafer è stato trascinato fuori mentre indossava ancora i suoi pantaloni da boxer, “senza sapere cosa stesse succedendo o perché.”

Nel corso delle successive ore, gli agenti hanno sequestrato tutti i computer e i dispositivi di Shafer—“e persino le mie riviste Dentrix,” ha detto Shafer. “L’unica cosa che hanno lasciato è stato il telefono di mia moglie.” L’elenco dei beni sequestrati mostra che gli agenti federali hanno preso 29 oggetti.

Qual era il suo presunto crimine? Divulgazione responsabile. Invece di ringraziare il ricercatore per la sua corretta divulgazione di una fuga di dati sensibili, Patterson Digital ha presentato una denuncia alle autorità locali per essere stata hackerata.

Gli agenti dell’FBI hanno detto a Shafer durante la perquisizione della casa che Patterson Dental aveva affermato che lui “aveva superato l’accesso autorizzato” quando stava indagando sulla questione del server FTP accessibile pubblicamente.

Chiunque avrebbe potuto accedere al server, non è che fosse sicuro. Shafer ha detto al Daily Dot che il server FTP era stato non sicuro per anni.

In una dichiarazione via email, ha scritto:

“Molti esperti IT nel settore dentale sanno che il sito FTP di Patterson è stato non sicuro per molti anni. Ricordo addirittura che avevano un sito FTP protetto da password nel 2006. Per ottenere la password avresti dovuto chiamare il supporto tecnico di Eaglesoft/Patterson Dental e ti avrebbero semplicemente dato la password per il sito FTP se volevi scaricare qualcosa. Non è mai cambiata. A un certo punto hanno reso il sito FTP anonimo. Penso intorno al 2010.”

Non è la prima volta che Shafer affronta questo problema nell’industria sanitaria. In passato, il ricercatore aveva scoperto che Henry Schein stava facendo affermazioni false sul fatto che il suo software Dentrix G5 utilizzasse la crittografia. Le scoperte di Shafer hanno portato a un altro avviso dell’US-CERT e a una multa da parte della FTC.