一名德国程序员Hendrik H.因未经授权访问第三方计算机系统和刺探数据,违反了《德国刑法典》(StGB)中的黑客条款202a,并被处以3000欧元的罚款(约2.35万元)。
这位程序员在为IT服务公司Modern Solution GmbH的客户解决软件故障时,发现该公司的代码通过MySQL连接到一台MariaDB数据库服务器。远程服务器的密码以纯文本形式存储在程序文件MSConnect.exe中,任何人都可以使用简单的文本编辑器打开文件查看内容,并找到未加密的硬编码密码。
在发现漏洞后,这名程序员在技术博客作者Mark Steier的协助下联系了相关公司,后者随后修复了安全漏洞,并向警方报告了这名程序员的行为。然而,Modern Solution指控他通过内部信息获取密码,并声称他是竞争对手。2021年9月,德国警方扣押了Hendrik H.的电脑,因为Modern Solution指控他“通过内部信息”获得的密码,并声称他是竞争对手。
2023年6月,德国于利希地方法院支持Hendrik H的诉讼请求,理由是Modern Solution的软件保护不力。然而,亚琛地区法院要求利希地方法院重新审理此案,并推翻了原先的裁定。最终,于2024年1月17日,利希地方法院宣判对Hendrik H.处以罚款,并责令其支付诉讼费用。
这一判决在广大网络安全专家和研究人员中引起了争议,因为这名程序员是在发现漏洞后,主动向相关公司报告的,而非恶意攻击。
