一位安全研究员负责任地揭露了佛罗里达州选举网站存在的漏洞,可是他却在周三因刑事网络犯罪被监禁六个小时。 来自佛罗里达州埃斯特的安全研究人员David Michael Levin今年31岁,他被指控犯有三项罪责,分别是未经授权访问计算机、网络和电子设备。 去年12月19日,Levin测试Lee市网站的安全性时发现该网站存在一个致命的SQL注入漏洞,他可以利用这个漏洞访问网站的数据库,而数据库中包含了用户名和密码。 据报道,Levin测试州选举网站SQL漏洞时使用的是一款免费的SQL测试软件,名叫Havij。 Levin表示,他当时就负责任地向有关当局报道了这一漏洞,并且帮助他们修复了选举网站中的所有漏洞。 同时,Levin通过一个采访披露了这一切。但是他是在1月下旬才在Youtube上发布这个采访视频的,那个时候当局早已经修补好所有的漏洞了。 Levin和Dan Sinclair一起录了这个采访短片,短片详细说明了选举网站中存在的这个简单的SQL注入漏洞,这个漏洞很有可能导致网站的数据失窃,而相关数据库根本没有进行任何加密。 作为概念证明手段,Levin在短片中展示他借用选举主任Sharon Harrington的用户名和密码登陆网站,这使得他可以完全控制内容管理系统(CMS),该系统用于控制佛罗里达州选举办公室的官方网站。 然而,这段视频被完全扭曲,反而成了佛罗里达州执法部门官员指控Levin的证据。 这段视频在Youtube公布大概两周之后,佛罗里达州警方突袭搜查Levin的住处,并且控制了他的计算机。 根据佛罗里达州执法部门官员描述,Levin被捕的罪名是恶意侵入佛罗里达州的数个选举网站。保释之前他在监狱里面呆了六个小时,而保释金达到1.5万美金。 虽然佛罗里达州警方宣称Levin从未请求授权在任何州有服务器上进行他的渗透测试。但是Sinclair表示Levin是在帮助管理部门修复网站中的安全漏洞。 FDLE特别代理Larry Long说道,“Levin利用从Lee市网站中得到的用户名和密码获得进一步访问受密码保护领域的权利。国家的相关法律法规非常清楚地规定了,这种行为必须获得授权才可以实行。” 然而,Sinclair对《黑客新闻》表示,Levin当时在进行调查研究的时候已经与当局取得过联系。 他说,“FDLE因为这个案件,先是找到了Dave,然后又找到了我。我们知道他们正在调查服务器漏洞和相关重大过失,因此都告知了我们知道的准确信息。但是代理Chris Tissot在询问我的时候一直打断我的回答。” “我很快就意识到Tissot此行不是为了调查问题。他唯一的目标就是找到可以打击Dave的有用信息,这样就可以让公众对Dave发布的消息心生质疑。(尽管Dave刚刚帮他们解决了漏洞问题)” 从这一点可以看出,联邦特工并不是要彻底调查这件事,他们只是想让Levin充当他们的替罪羊。 |