David Levin, yang merupakan chief technology officer di perusahaan pengujian pena Vanguard Cybersecurity, sedang menguji situs web pemilu Lee County untuk mengetahui kerentanan injeksi SQL pada bulan Desember. Dia dilaporkan menggunakan Havij, perangkat lunak pengujian SQL gratis.
Video yang Direkomendasikan
Levin mengklaim bahwa situs tersebut sebagian besar tidak terenkripsi dan dia bisa, jika dia mau, mencuri data pribadi yang disimpannya, termasuk nama pengguna dan kata sandi, menurut laporan. Levin melanjutkan mempublikasikan video online pada bulan Januari dengan politisi lokal Dan Sinclair, yang akan mencalonkan diri sebagai pengawas pemilu di wilayah tersebut, di mana mereka mengungkapkan kerentanannya.
Polisi kemudian mengeluarkan surat perintah penangkapannya atas tiga tuduhan kejahatan properti tingkat tiga. Dia menyerahkan diri dan kemudian dibebaskan dengan jaminan $15.000.
Inti perdebatan dalam penelitian Levin bukanlah bahwa ia menemukan kerentanan, melainkan bahwa ia mampu mengambil data berisiko ini menggunakan alat pihak ketiga. Dia kemudian menggunakan sebagian dari data ini untuk masuk ke situs web sebagai bagian dari pengujiannya, menurut laporan. Kedua, dia baru memberi tahu otoritas pemilu setelah video tersebut dipublikasikan.
Troy Hunt, peneliti keamanan lainnya, menulis bahwa kurangnya keamanan yang diterapkan oleh Lee County adalah hal yang “mengerikan” tetapi Levin seharusnya berhenti ketika dia menyadari apa yang dia temukan dan segera menghubungi pihak berwenang.
“Dave jelas menemukan risiko yang serius, namun alih-alih berhenti di situ dan melaporkannya, dia malah menunjukkan sebuah alat yang menyedot sejumlah besar data,” kata Hunt.
Levin sejak itu mengomentari tindakannya. “Saya membiarkan keangkuhan menguasai diri saya,” dia men-tweet.
Insiden tersebut juga mengandung unsur politik, dengan Sinclair menuduh Sharon Harrington, yang menjabat saat ini pengawas pemilu dan lawannya dalam pemilu untuk jabatan tersebut, menggunakan penangkapan tersebut untuk mencoreng nama baik dia.
“Dave tidak melakukan kesalahan apa pun,” katanya membela peneliti. “Ini adalah korupsi politik.”
Sinclair kepada media lokal bahwa dia tidak meminta Levin meretas situs apa pun untuknya dan bahwa Levin telah menghubunginya tentang penemuannya.
Tingkatkan gaya hidup AndaTren Digital membantu pembaca mengawasi dunia teknologi yang bergerak cepat dengan semua berita terkini, ulasan produk yang menyenangkan, editorial yang berwawasan luas, dan cuplikan unik.
