Арестуваха български експерт за демонстрация на уязвимост

.td_uid_42_5d1a03d0a1c13_rand.td-a-rec-img{text-align:left}.td_uid_42_5d1a03d0a1c13_rand.td-a-rec-img img{margin:0 auto 0 0}

Българската полиция арестува експерта по информационна безопасност Петко Петров (Petko Petrov според ZDNet) за публикуването на метод за експлоатация на уязвимост в софтуера, използван в детските градини на Стара Загора. С помощта на разкритата от него уязвимост специалистът е успял да изтегли данните на на 236 000 жители на Стара Загора.

Миналата седмица експертът публикувал във Facebook видео с демонстрацията на уязвимостта. В клипа се вижда, че Петров стартира автоматизирана атака срещу общински портал , в който родителите записват децата си в детските градини на Стара Загора. Благодарение на тази уязвимост Петров изтеглял данните на родителите и на децата. В описанието си към клипа експертът отбелязва, че че се е опитал да се свърже с производителя на въпросния софтуер и с местните власти, но не получил отговор на своите съобщения.

И още, Петков е дал линк към GitHub хранилище с действащ PoC код, който може да бъде изтеглен от всеки желаещ.

.td_uid_41_5d1a03d0a17b7_rand.td-a-rec-img{text-align:left}.td_uid_41_5d1a03d0a17b7_rand.td-a-rec-img img{margin:0 auto 0 0}

Специалистът бе арестуван на 28 юни, петък, но след 24 часа бе освободен. Очаква се властите да му предявят обвинение за получаване на обществена информация по незаконен начин. В случай на образуване на криминално дело Петко Петров може да получи присъда от 1 до 3 години затвор и глоба в размер до 5000 лева.

Днес уязвимият софтуер на компанията Information Services AD вече е премахнат от сайта на общината.