德国程序员因报告漏洞被判罚 2.4 万元

德国于利希地方法院近日宣布了一项最新判决结果，认定一名程序员因未经授权访问第三方计算机系统和刺探数据，违反《德国刑法典》（StGB）中所谓的黑客条款 202a 而处以 3000 欧元的罚款（约 2.35 万元），同时承担所有的诉讼费用。

2021 年 6 月，这位名为 Hendrik H. 的研究人员在为 IT 服务公司 Modern Solution GmbH 的一位客户排除软件故障时发现，Modern Solution 的代码通过 MySQL 连接至一台 MariaDB 数据库服务器。而访问远程服务器的密码则以纯文本形式存储在程序文件 MSConnect.exe 中，任何人使用简单的文本编辑器就能打开该文件查看内容，并找到未加密的硬编码密码。

也正是因为这个唾手可得的密码，导致任何人都可以登录远程服务器访问 Modern Solution 的客户的数据，同时还可以访问存储在该数据库服务器上的供应商所有客户的数据。总的来说，这个数据库漏洞暴露了近 70 万条客户记录，包括姓名、电子邮件地址、电话号码、银行信息、密码以及对话和通话记录等。

在发现这一漏洞后，该程序员在一名技术博客作者 Mark Steier 的帮助下联系了相关公司，后者随后修复了安全漏洞，并报警追究这名程序员的责任。2021 年 9 月，德国警方扣押了 Hendrik H. 的电脑，因为 Modern Solution 指控他是通过内部信息获得的密码，并声称他是竞争对手。

2023 年 6 月，德国于利希地方法院以 Modern Solution 软件保护不力为由，支持了 Hendrik H 的诉讼请求。但亚琛地区法院指令于利希地方法院再次审理此案，原先的裁定被推翻。2024 年 1 月 17 日，于利希地方法院最终宣判对 Hendrik H. 处以罚款，并责令其支付诉讼费用。

这一判决不可避免的在广大网络安全专家和研究人员当中引起了争议。Steier 发帖表示，这一判决从根本上就是错误的。“几乎以纯文本形式保存的密码并不构成第 202 条所要求的'special security'。法官无法对此作出判断是可以理解的，但这样一来就必须就这个问题听取专家的意见。遗憾的是，这并没有发生。”

不过，该判决尚未具有法律约束力。被告的辩护律师辩称，即使法院判定他有罪，他的当事人的行为也是为了公众利益。被指控的程序员已于 1 月 19 日宣布，正在对判决提出上诉。