ドイツのユーリッヒ地方裁判所は最近最新の判決を発表し、プログラマーがサードパーティのコンピュータ システムへの不正アクセスとデータのスパイ行為でドイツ刑法 (StGB) のいわゆるハッキング条項 202a に違反したとして処罰されたと結論付けました。罰金3000ユーロ(約2万3500元)と訴訟費用は全額負担する。
2021 年 6 月、Hendrik H. という名前の研究者は、IT サービス会社 Modern Solution GmbH の顧客のソフトウェア問題のトラブルシューティングを行っていたときに、Modern Solution のコードが MySQL を介して MariaDB データベース サーバーに接続していることを発見しました。リモート サーバーにアクセスするためのパスワードは、プログラム ファイル MSConnect.exe にプレーン テキストで保存されており、簡単なテキスト エディタを使用すれば誰でもファイルを開いて内容を表示し、暗号化されていないハードコードされたパスワードを見つけることができます。
このすぐに利用できるパスワードのおかげで、誰でもリモート サーバーにログインしてモダン ソリューションの顧客のデータにアクセスでき、データベース サーバーに保存されているサプライヤーのすべての顧客のデータにもアクセスできます。全体として、データベース侵害により、名前、電子メール アドレス、電話番号、銀行情報、パスワード、会話と通話の記録を含む 700,000 件近くの顧客記録が暴露されました。
脆弱性を発見した後、プログラマーはテクノロジーブロガーのマーク・シュタイアー氏の協力を得て関連会社に連絡し、その後セキュリティ上の脆弱性を修正し、警察にプログラマーの責任を追及した。2021年9月、モダン・ソリューションが内部情報を通じてパスワードを入手したとしてヘンドリック・H.氏を告発し、同氏が競合他社であると主張した後、ドイツ警察はヘンドリック・H.氏のコンピュータを押収した。
2023 年 6 月、ドイツのユーリッヒ地方裁判所は、モダン ソリューション ソフトウェアの保護が不十分であるという理由で、ヘンドリック H 氏の訴訟を支持しました。しかし、アーヘン地方裁判所はユーリッヒ地方裁判所にこの事件を再度審理するよう命じ、当初の判決は覆された。2024 年 1 月 17 日、ユーリッヒ地方裁判所は最終的にヘンドリック H. に罰金刑を言い渡し、訴訟費用の支払いを命じました。
この判決は、必然的に多くのネットワーク セキュリティの専門家や研究者の間で論争を巻き起こしました。シュタイアー氏は、この判決は根本的に間違っていたと投稿した。「ほぼ平文形式で保存されているパスワードは、第 202 条で要求されている『特別なセキュリティ』を構成しません。裁判官がこれを判断できないのは理解できますが、その場合はこの問題について専門家の意見を聞かなければなりません。残念ながら、それは起こらなかった。」
ただし、この判決にはまだ法的拘束力はありません。被告の弁護人は、たとえ裁判所が有罪と認定したとしても、依頼人は公益のために行動したと主張した。被告のプログラマーは1月19日、判決に対して控訴すると発表した。