공개적으로 노출된 데이터를 발견하고 보고한 보안 연구원이 FBI에 의해 급습당하다

FBI, 공개적으로 노출된 데이터에 대해 회사에 경고한 연구원의 집을 급습하다

미국에서 다시 이런 일이 발생했습니다. 선거 웹사이트의 결함을 드러내기 위해 보안 연구원을 체포한 후, 이제 FBI는 공개적으로 노출된 데이터에 대해 회사에 보고한 연구원의 집을 급습했습니다.

미국의 법 집행 기관은 사이버 범죄자와 기업/당국에 결함을 보고하는 진정한 보안 연구자를 구별할 수 없는 것 같습니다. 텍사스의 36세 치과 컴퓨터 기술자이자 소프트웨어 보안 연구원인 저스틴 셰이퍼의 집은 보안 문제를 보고한 12명 이상의 FBI 요원에 의해 급습당했습니다. 이 사건은 The Daily Dot에 보도되었습니다.

셰이퍼는 자신의 집이 수색되기 전에 2월에 Eaglesoft 실습 관리 소프트웨어의 취약점을 제조업체인 패터슨 덴탈에 보고했습니다. 이 소프트웨어는 개인 환자 기록을 공개적으로 접근 가능한 FTP 서버에 저장하고 있었습니다. Eaglesoft는 패터슨 컴퍼니의 자회사인 패터슨 덴탈에서 제조합니다.

셰이퍼는 이 회사를 조사하는 동안 이 사실을 발견했습니다. 그는 하드코딩된 데이터베이스 자격 증명을 검색하던 중 누구나 접근할 수 있는 익명 FTP 서버를 발견했습니다. 셰이퍼는 회사와 CERT에 이 사실을 알렸습니다.

셰이퍼는 DataBreaches.net와 협력하여 패터슨 덴탈과 함께 FTP 서버를 보호하고 2월 중순에 자신의 발견을 공개했습니다. 보안이 취약한 Eaglesoft FTP 서버는 약 22,000명의 환자에 대한 민감한 정보를 노출했으며, 셰이퍼는 이 문제가 2006년부터 발생해왔다고 주장합니다.

3월 말, US-CERT는 패터슨 덴탈의 Eaglesoft 소프트웨어 문제에 대한 경고를 발표했습니다. 이 문제는 하드코딩된 데이터베이스 자격 증명과 관련이 있습니다. CERT는 “하드코딩된 자격 증명에 대한 지식이 있고 데이터베이스에 대한 네트워크 접근이 있는 공격자는 민감한 환자 정보를 얻을 수 있을 것”이라고 작성했습니다. CERT는 이 문제에 대한 완전한 해결책을 “현재로서는 알지 못한다”고 덧붙였습니다.

그러나 몇 달 후, 셰이퍼와 그의 아내는 지난 화요일 아침 6시 30분에 계속해서 울리는 초인종 소리에 잠에서 깼습니다. 이후 가족은 문을 세게 두드리는 소리를 들었습니다.

“내 첫 번째 생각은 아버지가 돌아가셨다는 것이었습니다,” 셰이퍼는 Daily Dot과의 전화 인터뷰에서 말했습니다. “하지만 문으로 가면서 나는 모든 파란색과 빨간색 불빛이 깜빡이는 것을 보았습니다.”

아기가 소음에 두려워 울고 있는 가운데, 셰이퍼는 문을 열었고, 그가 추정하기로는 12명에서 15명의 FBI 요원이 있었습니다. 한 요원은 “큰 녹색” 공격 무기를 그에게 겨누고 있었습니다,” 셰이퍼는 Daily Dot에 말했습니다. “그리고 아기의 침대는 문에서 몇 발자국 떨어진 곳에 있었습니다.”

요원들은 셰이퍼에게 손을 뒤로 하라고 명령했습니다. 그들이 그를 수갑 채울 때, 그의 9세 딸은 공포에 질려 울었습니다. 셰이퍼는 그의 아내가 집에 세 명의 어린 아이가 있다고 요원들에게 말하려고 했지만, 그들은 전혀 신경 쓰지 않았습니다.

수갑이 채워진 후, 셰이퍼는 여전히 그의 팬티만 입고 밖으로 끌려 나갔습니다. “무슨 일이 일어나고 있는지, 왜 그런지 전혀 알지 못했습니다.”

요원들은 몇 시간 동안 셰이퍼의 모든 컴퓨터와 장치를 압수했습니다. “내 Dentrix 잡지조차도 압수당했습니다,” 셰이퍼는 말했습니다. “그들이 남긴 유일한 것은 아내의 전화였습니다.” 압수된 물품 목록에는 연방 요원들이 29개의 물품을 가져갔다는 내용이 포함되어 있습니다.

그의 주장된 범죄는 무엇이었습니까? 책임 있는 공개입니다. 민감한 데이터 유출에 대한 적절한 공개에 대해 연구원에게 감사를 표하는 대신, 패터슨 디지털은 해킹당했다고 지역 법 당국에 불만을 제기했습니다.

FBI 요원들은 집 수색 중에 패터슨 덴탈이 그가 공개적으로 접근 가능한 FTP 서버 문제를 조사할 때 “허가된 접근을 초과했다”고 주장했다고 셰이퍼에게 말했습니다.

누구나 서버에 접근할 수 있었고, 그것이 안전하게 보호된 것이 아니었습니다. 셰이퍼는 Daily Dot에 FTP 서버가 수년간 안전하지 않았다고 말했습니다.

그는 이메일 성명에서 다음과 같이 썼습니다:

“치과 산업의 많은 IT 전문가들은 패터슨 FTP 사이트가 수년간 안전하지 않았다는 것을 알고 있습니다. 저는 실제로 그들이 2006년에 비밀번호가 있는 FTP 사이트를 운영했던 것을 기억합니다. 비밀번호를 얻으려면 Eaglesoft\Patterson Dental의 기술 지원에 전화하면 다운로드할 수 있는 비밀번호를 그냥 주었습니다. 그것은 결코 변경되지 않았습니다. 어느 시점에서 그들은 FTP 사이트를 익명으로 만들었습니다. 아마도 2010년경이었을 것입니다.”

셰이퍼가 의료 산업에서 이러한 문제에 직면한 것은 이번이 처음이 아닙니다. 과거에 그는 헨리 샤인(Henry Schein)이 자신의 Dentrix G5 소프트웨어가 암호화를 사용하고 있다고 잘못 주장하고 있다는 사실을 발견했습니다. 셰이퍼의 발견은 또 다른 US-CERT 경고와 FTC의 벌금으로 이어졌습니다.