В 2018 году радиоинженер Раймондс Скурулс случайно обнаружил критическую уязвимость в системе Дирекции безопасности дорожного движения. Он попытался получить за это вознаграждение, но был задержан полицией, признан виновным в вымогательстве и оштрафован на крупную сумму. Разбирательства по этому делу продолжаются до сих пор, пишет журнал Ir.
Что обнаружил Скурулс
Шесть лет назад, в начале октября, радиоинженер Раймондс Скурулс решил перерегистрировать свою машину на имя сына. Он успешно сделал это на сайте CSDD, но не закрыл веб-браузер. Через некоторое время он вернулся к компьютеру и обнаружил, что его профиль на сайте по-прежнему открыт и работает. "Мне не пришлось повторно подключаться к системе, чтобы выполнить какие-либо действия в профиле - например сменить владельца", - цитирует слова Скурулса журнал Ir.
Он убедился, что его не "выкидывает" из профиля ни через полчаса, ни через шесть часов. Фактически это позволяет несанкционированно передавать автомобиль от одного физического лица другому, регистрировать или снимать его с учета. В интернет-банках неактивных пользователей отключают от системы автоматически. Здесь же этого не произошло.
Скурулс позвонил на горячую линию CSDD и сообщил оператору, что обнаружил серьезную дыру в системе безопасности. Его соединили сначала с одним сотрудником дирекции, потом с другим, затем записали контактные данные и пообещали связаться. Специалист CSDD позвонил через четыре дня. Все это время IT-департамент пытался найти дыру в системе.
Заплатите за помощь
В разговоре с журналом Скурулс утверждает, что он предложил заключить договор о сотрудничестве, в рамках которого он поможет найти дыру в системе безопасности. "Если вы обращаетесь к юристу и он оказывает помощь, это не бывает бесплатно", - заявил Скурулс. Запись разговора не сохранилась, бывший член правления CSDD Янис Голубевс дал показания, согласно которым Скурулс согласился раскрыть информацию, если ему за это заплатят.
CSDD передал этот кейс компании WeAreDots, которая обеспечивала аудита безопасности электронных услуг дирекции. Скурулс утверждает, что в переписке с WeAreDots он предложил выплатить ему 1000 евро за обнаружение уязвимости. Кроме того, он хотел, чтобы в договор был включен пункт: если WeAreDots сочтет, что дыра не представляет опасности, то деньги можно не платить, но Скурулс в этом случае оставляет за собой право опубликовать всю информацию в СМИ. Он был готов получить вознаграждение после того, как раскроет дыру в системе.
7 ноября 2018 года WeAreDots заключила договор с компанией Скурулса Acoustic Power Lab OÜ. После этого инженер отправил по электронной почте описание уязвимости и позвонил, чтобы убедиться, что информация получена. Он не знал, что договор был частью следственного эксперимента и позже стал доказательством в уголовном деле о вымогательстве.
Деньги Скурулс так и не получил. На следующий день около пяти утра он был задержан полицией. Во время обыска из его мастерской были изъяты носители информации с 30 компьютеров. После расследования, длившегося год, ему было предъявлено обвинение в вымогательстве. Прокурор полагает, что Скурулс потребовал от CSDD вознаграждение в размере 1000 евро без законных оснований, угрожая в случае неуплаты раскрыть СМИ детали обнаруженной уязвимости. Скурулс с этим обвинением не согласен - он убежден, что между сторонами была заключена сделка в рамках гражданского права.
Суд признал Скурулса виновным и приговорил к штрафу в размере 5750 евро. Кроме того, он должен покрыть расходы СSDD на сумму 3459 евро. В июле 2024 года Латгальский окружной суд повторно рассмотрел дело и оставил приговор без изменений. Скурулс подал кассационную жалобу.
"Неадекватная коммуникация"
Представитель Ассоциации профессионалов безопасности Улдис Либиетис в разговоре с Ir заявил, что дыра, которую нашел Скурулс, относилась к уязвимостям высокого риска. "Любой человек мог исправить данные и о своем транспортном средстве, и о транспортных средствах других людей или сменить владельца транспортного средства. Исказить данные в государственной информационной системе и увидеть данные о других жителях Латвии", - говорит он. Либиетис полагает, что коммуникация CSDD в этой ситуации была неадекватной. "В учреждении должно быть больше коллективного разума, чем у одного отдельного тестировщика", - говорит Либиетис.
Еще более странно то, что у Скурулса требуют покрыть расходы, понесенные CSDD из-за безуспешных попыток самостоятельно найти обнаруженную им уязвимость. "Пришел человек и сказал - у вас проблема, данные всех латвийских пользователей транспортных средств в опасности, весь ваш регистр затронут, его можно скопировать и исказить. Вы четыре дня пытаетесь найти проблему сами, но не можете, и заставляете платить за это того, кто нашел брешь в системе безопасности. Где логика?" - говорит Либиетис.
Санита Витола из Cert.lv подчеркивает, что из этой ситуации всем нужно извлечь уроки. "Нужно сразу садиться за стол втроем - тому, кто вскрыл уязвимость, владельцу ресурса и Cert.lv, которое поможет найти правильное решение", - говорит она. В 2018 году, когда Раймонд Скурулс информировал CSDD о проблеме, статус сообщившего об уязвимости в Латвии еще не был регламентирован, хотя на практике такие сообщения поступали. Как отмечает Витола, проблемой стало то, что Скурулс просил плату за обнаружение уязвимости, при этом до того, как раскрыть учреждению, в чем именно она заключалась. По ее словам, если учреждение само не проявило инициативу заплатить, человек не имеет права требовать оплату.