David Levin, Chief Technology Officer des Pen-Testing-Unternehmens Vanguard Cybersecurity, testete im Dezember die Wahlwebsite von Lee County auf SQL-Injection-Schwachstellen. Berichten zufolge nutzte er Havij, eine kostenlose SQL-Testsoftware.
Empfohlene Videos
Berichten zufolge behauptete Levin, dass die Website weitgehend unverschlüsselt sei und er, wenn er es gewollt hätte, die dort gespeicherten persönlichen Daten, einschließlich Benutzernamen und Passwörter, hätte stehlen können. Levin fuhr fort ein Video online veröffentlichen im Januar mit dem Lokalpolitiker Dan Sinclair, der für das Amt des Wahlleiters im Landkreis kandidieren wird, wo sie die Schwachstellen aufdeckten.
Die Polizei erließ daraufhin einen Haftbefehl gegen ihn wegen dreier Eigentumsdelikte dritten Grades. Er stellte sich selbst und wurde später gegen eine Kaution von 15.000 US-Dollar freigelassen.
Der Streitpunkt in Levins Arbeit ist nicht, dass er Schwachstellen gefunden hat, sondern dass er diese gefährdeten Daten mithilfe eines Tools eines Drittanbieters sammeln konnte. Berichten zufolge nutzte er einige dieser Daten dann, um sich im Rahmen seiner Tests auf der Website anzumelden. Zweitens habe er die Wahlbehörde erst nach Veröffentlichung des Videos benachrichtigt.
Troy Hunt, ein weiterer Sicherheitsforscher, schrieb dass der von Lee County eingeführte Mangel an Sicherheitsmaßnahmen „ungeheuerlich“ sei, aber Levin hätte aufhören sollen, als ihm klar wurde, was er entdeckt hatte, und sich sofort an die Behörden wenden sollen.
„Dave hat offensichtlich ein ernstes Risiko festgestellt, aber anstatt einfach dabei zu bleiben und es zu melden, hat er ein Tool darauf gerichtet, das eine Menge Daten abgesaugt hat“, sagte Hunt.
Levin hat seitdem Kommentare zu seinen Handlungen abgegeben. „Ich lasse zu, dass meine Hybris das Beste aus mir herausholt“ er hat getwittert.
Der Vorfall hat auch ein politisches Element angenommen, da Sinclair Sharon Harrington, die Strömung, beschuldigt hat Wahlleiter und sein Gegner bei der Wahl für dieses Amt, die Festnahme zur Verunglimpfung zu nutzen ihn.
„Dave hat nichts falsch gemacht“, verteidigte er den Forscher. „Das ist politische Korruption.“
Sinclair sagte lokalen Medien dass er Levin nicht gebeten hatte, irgendwelche Websites für ihn zu hacken, und dass Levin sich wegen seiner Entdeckung an ihn gewandt hatte.
Werten Sie Ihren Lebensstil aufDigital Trends hilft Lesern mit den neuesten Nachrichten, unterhaltsamen Produktrezensionen, aufschlussreichen Leitartikeln und einzigartigen Einblicken, den Überblick über die schnelllebige Welt der Technik zu behalten.
