El Tribunal de Distrito de Julich en Alemania anunció recientemente el último veredicto, concluyendo que un programador fue castigado por violar la llamada cláusula de piratería 202a del Código Penal alemán (StGB) por acceso no autorizado a sistemas informáticos de terceros y espionaje de datos .
En junio de 2021, el investigador llamado Hendrik H. estaba solucionando problemas de software para un cliente de la empresa de servicios de TI Modern Solution GmbH cuando descubrió que el código de Modern Solution se conectaba a un servidor de base de datos MariaDB a través de MySQL. La contraseña para acceder al servidor remoto se almacena en texto plano en el archivo de programa MSConnect.exe. Cualquiera que utilice un editor de texto simple puede abrir el archivo para ver el contenido y encontrar la contraseña codificada sin cifrar.
Es precisamente gracias a esta contraseña fácilmente disponible que cualquiera puede iniciar sesión en el servidor remoto para acceder a los datos de los clientes de Modern Solution, y también acceder a los datos de todos los clientes del proveedor almacenados en el servidor de la base de datos. En general, la violación de la base de datos expuso casi 700.000 registros de clientes, incluidos nombres, direcciones de correo electrónico, números de teléfono, información bancaria, contraseñas y registros de conversaciones y llamadas.
Después de descubrir la vulnerabilidad, el programador se puso en contacto con la empresa correspondiente con la ayuda de un blogger de tecnología, Mark Steier, quien posteriormente solucionó la vulnerabilidad de seguridad y llamó a la policía para responsabilizar al programador. En septiembre de 2021, la policía alemana confiscó la computadora de Hendrik H. después de que Modern Solution lo acusara de obtener la contraseña a través de información interna y afirmara que era un competidor.
En junio de 2023, el Tribunal de Distrito de Jülich (Alemania) apoyó la demanda de Hendrik H alegando que el software Modern Solution estaba mal protegido. Sin embargo, el tribunal de distrito de Aquisgrán ordenó al tribunal de distrito de Jülich que reconociera el caso y la sentencia original fue anulada. El 17 de enero de 2024, el Tribunal de Distrito de Jülich condenó finalmente a Hendrik H. a una multa y al pago de las costas.
Esta sentencia inevitablemente provocó controversia entre un gran número de investigadores y expertos en seguridad de redes. Steier afirmó que la sentencia era fundamentalmente errónea. "Las contraseñas guardadas casi en texto plano no constituyen una 'seguridad especial' como exige el artículo 202. Es comprensible que un juez no pueda juzgar esto, pero entonces habría que escuchar a los expertos en el tema. Desafortunadamente, eso no sucedió”.
Sin embargo, la sentencia aún no es jurídicamente vinculante. El abogado defensor del acusado argumentó que su cliente actuó en interés público incluso si el tribunal lo declarara culpable. El programador acusado anunció el 19 de enero que apelaría el veredicto.