Исследователь безопасности подвергся обыску ФБР за обнаружение и сообщение о публично доступных данных

ФБР обыскивает дом исследователя, который уведомил компанию о публично доступных данных

Это снова происходит в Америке. После ареста исследователя безопасности за выявление уязвимостей на сайте выборов, теперь ФБР обыскало дом исследователя, который сообщил о публично доступных данных компании.

Похоже, что правоохранительные органы в Америке не могут отличить киберпреступников от настоящих исследователей безопасности, которые берут на себя ответственность за сообщение о недостатках компаниям/властям ради общего блага. Дом Джастина Шафера, 36 лет, из Техаса, стоматологического компьютерного техника и исследователя безопасности программного обеспечения, был обыскан более чем дюжиной агентов ФБР, которые ранее сообщали о проблемах безопасности в программном обеспечении и серверной инфраструктуре поставщика медицинских услуг в США, сообщает The Daily Dot.

Перед тем как его дом был обыскан, Шафер сообщил о уязвимости в программном обеспечении управления практикой Eaglesoft производителю Patterson Dental в феврале, которое хранило личные записи пациентов на публично доступном FTP-сервере. Eaglesoft производится компанией Patterson Dental, подразделением Patterson Companies.

Шафер обнаружил это, когда он исследовал программное обеспечение Eaglesoft компании. Он искал жестко закодированные учетные данные базы данных, когда наткнулся на анонимный FTP-сервер, к которому мог получить доступ любой. Шафер уведомил компанию, а также CERT.

Шафер работал с DataBreaches.net, чтобы обеспечить безопасность FTP-сервера с Patterson Dental и обнародовал свои находки в середине февраля. Небезопасный FTP-сервер Eaglesoft подвергал риску конфиденциальную информацию примерно 22,000 пациентов, и Шафер утверждает, что это происходило как минимум с 2006 года.

В конце марта US-CERT также опубликовал предупреждение о проблемах с программным обеспечением Eaglesoft от Patterson Dental, связанных с его жестко закодированными учетными данными базы данных. В нем говорилось: «Злоумышленник, обладающий знаниями о жестко закодированных учетных данных и имеющий доступ к сети базы данных, может получить конфиденциальную информацию о пациентах». CERT добавил, что в настоящее время «не знает полного решения этой проблемы».

Однако, переместившись вперед на несколько месяцев, Шафер и его жена, которые крепко спали, были разбужены в 6:30 утра по местному времени в прошлый вторник звоном в дверь, который начал непрерывно звучать. Позже семья услышала громкий стук в их дверь.

«Моя первая мысль была, что мой отец умер», — сказал Шафер в интервью Daily Dot по телефону, «но когда я подошел к двери, я увидел все мигающие синие и красные огни».

С ребенком, который плакал от страха из-за шума, Шафер открыл дверь и увидел, что, по его оценкам, там было от 12 до 15 агентов ФБР. Один из них «направлял на меня „большое зеленое“ оружие», — сказал Шафер Daily Dot, «а детская кроватка находилась всего в нескольких футах от двери».

Агенты якобы приказали Шаферу положить руки за спину. Когда его заковали в наручники, его 9-летняя дочь закричала от ужаса, сказал Шафер. Его жена пыталась сказать агентам, что в доме находятся трое маленьких детей, но, по-видимому, им было все равно.

После того как Шафер был закован в наручники, его вытащили на улицу, все еще в боксерских шортах, «не зная, что происходит и почему».

Агенты в течение следующих нескольких часов изъяли все компьютеры и устройства Шафера — «и даже мои журналы Dentrix», — сказал Шафер. «Единственное, что они оставили, это телефон моей жены». Список изъятых предметов показывает, что федеральные агенты забрали 29 предметов.

Какое было его предполагаемое преступление? Ответственное раскрытие. Вместо того чтобы поблагодарить исследователя за его правильное раскрытие утечки конфиденциальных данных, Patterson Digital подала жалобу в местные правоохранительные органы о том, что ее взломали.

Агенты ФБР сказали Шаферу во время обыска, что Patterson Dental утверждала, что он «превысил разрешенный доступ», исследуя проблему публично доступного FTP-сервера.

К серверу мог получить доступ любой, это не было защищено. Шафер сказал Daily Dot, что FTP-сервер был небезопасным в течение многих лет.

В электронном заявлении он написал:

«Многие IT-специалисты в стоматологической отрасли знают, что сайт Patterson FTP был небезопасным в течение многих лет. Я на самом деле помню, что у них был защищенный паролем FTP-сайт еще в 2006 году. Чтобы получить пароль, нужно было позвонить в техническую поддержку Eaglesoft/Patterson Dental, и они просто давали вам пароль к FTP-сайту, если вы хотели что-то скачать. Он никогда не менялся. В какой-то момент они сделали FTP-сайт анонимным. Я думаю, это было около 2010 года».

Это не первый раз, когда Шафер сталкивается с этой проблемой в медицинской отрасли. Ранее исследователь обнаружил, что Henry Schein делает ложные заявления о том, что его программное обеспечение Dentrix G5 использует шифрование. Находки Шафера привели к еще одному предупреждению US-CERT и штрафу от FTC.