David Levin, Chief Technology Officer van pentestbedrijf Vanguard Cybersecurity, testte in december de verkiezingswebsite van Lee County op kwetsbaarheden in SQL-injectie. Naar verluidt gebruikte hij Havij, een gratis SQL-testsoftware.
Aanbevolen video's
Levin beweerde dat de website grotendeels niet-versleuteld was en dat hij, als hij dat wilde, persoonlijke gegevens die erop waren opgeslagen, inclusief gebruikersnamen en wachtwoorden, volgens rapporten had kunnen stelen. Levin ging verder een video online publiceren in januari met de lokale politicus Dan Sinclair, die zich kandidaat zal stellen voor de verkiezingen in de provincie, waar ze de kwetsbaarheden aan het licht brachten.
De politie vaardigde vervolgens een arrestatiebevel tegen hem uit wegens drie aanklachten wegens vermogensdelicten in de derde graad. Hij gaf zichzelf aan en werd later vrijgelaten op borgtocht van $ 15.000.
Het twistpunt in het werk van Levin is niet dat hij kwetsbaarheden ontdekte, maar eerder dat hij deze risicovolle gegevens kon verzamelen met behulp van een tool van derden. Volgens rapporten gebruikte hij vervolgens een deel van deze gegevens om in te loggen op de website als onderdeel van zijn tests. Ten tweede heeft hij de verkiezingsautoriteiten pas op de hoogte gebracht nadat de video was gepubliceerd.
Troy Hunt, een andere beveiligingsonderzoeker, schreef dat het gebrek aan beveiliging van Lee County “flagrant” was, maar Levin had moeten stoppen toen hij zich realiseerde wat hij had ontdekt en onmiddellijk contact had opgenomen met de autoriteiten.
“Dave ontdekte duidelijk een ernstig risico, maar in plaats van het daar maar bij te laten en het te melden, richtte hij er een tool op die een grote hoeveelheid gegevens opzoog”, aldus Hunt.
Levin heeft sindsdien commentaar gegeven op zijn daden. ‘Ik liet hoogmoed het beste uit mezelf halen’ hij tweette.
Het incident heeft ook een politiek element gekregen, waarbij Sinclair de huidige Sharon Harrington beschuldigt toezichthouder van de verkiezingen en zijn tegenstander bij de verkiezing voor dat ambt, de arrestatie te gebruiken om te smaden hem.
“Dave heeft niets verkeerd gedaan”, zei hij ter verdediging van de onderzoeker. “Dit is politieke corruptie.”
Sinclair vertelde lokale media dat hij Levin niet had gevraagd om sites voor hem te hacken en dat Levin hem had benaderd over zijn ontdekking.
Upgrade uw levensstijlMet Digital Trends kunnen lezers de snelle technische wereld in de gaten houden met het laatste nieuws, leuke productrecensies, inzichtelijke redactionele artikelen en unieke sneak peeks.
