FBIに襲撃されたセキュリティ研究者、公開されたデータを発見し報告

FBIが公開されたデータを企業に報告した研究者の自宅を襲撃

アメリカで再びこのようなことが起こりました。選挙関連のウェブサイトの欠陥を暴露したセキュリティ研究者が逮捕された後、今度は公開されたデータについて企業に報告した研究者の家がFBIに襲撃されました。

アメリカの法執行機関は、サイバー犯罪者と企業や当局に欠陥を報告する真のセキュリティ研究者を区別できないようです。テキサス州の36歳の歯科コンピュータ技術者でありソフトウェアセキュリティ研究者のジャスティン・シェイファーの家は、過去にアメリカの医療サービスプロバイダーのソフトウェアとサーバーインフラのセキュリティ問題を報告した12人以上のFBIエージェントによって襲撃されましたと、The Daily Dotが報じています。

シェイファーは、2月にEaglesoftのプラクティスマネジメントソフトウェアの脆弱性を製造元のパターソン・デンタルに報告した後、自宅を捜索されました。このソフトウェアは、公開されているFTPサーバーにプライベートな患者記録を保存していました。Eaglesoftは、パターソン・カンパニーズの一部であるパターソン・デンタルによって製造されています。

シェイファーは、同社のEaglesoftソフトウェアを調査している際にこれを発見しました。彼はハードコーディングされたデータベースの認証情報を探しているときに、誰でもアクセスできる匿名のFTPサーバーを発見しました。シェイファーは、会社とCERTに通知しました。

シェイファーは、DataBreaches.netと協力してパターソン・デンタルのFTPサーバーを保護し、2月中旬に彼の発見を公表しました。無防備なEaglesoft FTPサーバーは約22,000人の患者の敏感な情報を暴露しており、シェイファーは2006年からそうしていたと主張しています。

3月末には、US-CERTもパターソン・デンタルのEaglesoftソフトウェアの問題に関する警告を発表しました。ハードコーディングされたデータベースの認証情報に関連して、「ハードコーディングされた認証情報を知っていて、データベースへのネットワークアクセスを持つ攻撃者は、敏感な患者情報を取得できる可能性があります」と書かれています。CERTは、「この問題の完全な解決策については現在知られていない」と付け加えました。

しかし、数ヶ月後、シェイファーと彼の妻は、先週の火曜日の朝6時30分に、鳴り続けるドアベルで目を覚ましました。その後、家族はドアを叩く大きな音を聞きました。

「最初の考えは、父が亡くなったのではないかということでした」とシェイファーはDaily Dotに電話インタビューで語りました。「しかし、ドアに行くと、青と赤の点滅するライトが見えました。」

赤ちゃんが騒音に恐れをなして泣いている中、シェイファーはドアを開けると、彼が推定するに12人から15人のFBIエージェントがいました。「一人は『大きな緑の』攻撃武器を私に向けていました」とシェイファーはDaily Dotに語りました。「赤ちゃんのベビーベッドはドアから数フィートのところにありました。」

エージェントたちはシェイファーに手を背中に回すように命じたとされています。手錠をかけられると、彼の9歳の娘は恐怖で泣き叫びました。妻はエージェントたちに家に3人の幼い子供がいることを伝えようとしましたが、彼らは明らかに気にしませんでした。

手錠をかけられたシェイファーは、何が起こっているのか、なぜなのかもわからないまま、ボクサーショーツだけを着たまま外に引きずり出されました。

エージェントたちはその後数時間にわたり、シェイファーのすべてのコンピュータとデバイスを押収しました。「私のDentrixの雑誌さえもです」とシェイファーは言いました。「彼らが残した唯一のものは妻の電話でした。」押収された物品リストには、連邦エージェントが29点を持ち去ったことが示されています。

彼の疑われる犯罪は何だったのでしょうか？責任ある開示です。敏感なデータ漏洩の適切な開示に対して研究者に感謝する代わりに、パターソン・デジタルはハッキングされたと地元の法執行機関に苦情を申し立てました。

FBIエージェントは、家宅捜索中にシェイファーに、パターソン・デンタルが彼が公開されているFTPサーバーの問題を調査する際に「許可されたアクセスを超えた」と主張したと伝えました。

誰でもサーバーにアクセスできたのですから、セキュリティが施されていたわけではありません。シェイファーはDaily Dotに、FTPサーバーは何年も無防備だったと語りました。

メール声明の中で、彼は次のように書きました：

「歯科業界の多くのIT担当者は、パターソンのFTPサイトが何年も無防備であったことを知っています。実際、私は2006年にパスワード付きのFTPサイトがあったことを覚えています。パスワードを取得するには、Eaglesoft\パターソン・デンタルのテクニカルサポートに電話をかければ、ダウンロードしたいものがあればFTPサイトのパスワードを教えてくれました。それは決して変更されませんでした。ある時点で、彼らはFTPサイトを匿名にしました。おそらく2010年頃です。」

これは、シェイファーが医療業界からこの問題に直面したのは初めてではありません。過去に、研究者はヘンリー・シャインがそのDentrix G5ソフトウェアが暗号化を使用しているという虚偽の主張をしていることを発見しました。シェイファーの発見は、別のUS-CERTの警告と、FTCからの罰金につながりました。