ヴァンガード・サイバーセキュリティのデビッド・レビン氏は、リー郡の州選挙ウェブサイトの管理者の資格情報を漏洩させるSQLインジェクションの脆弱性を悪用して開示したとして逮捕された。
フロリダ州法執行局によると、エステロ在住の31歳の男が12月19日にリー郡の州選挙ウェブサイトにハッキングを行った。レビン(@realdavidlevin)は財産犯罪による第三級重罪3件で起訴された。レビンは1万5000ドルの保釈金で釈放された。
フロリダ州法執行局の当局者は声明の中で、逮捕状が発行された後、レビン容疑者が自首したと述べた。
「レビン容疑者は特殊なソフトウェアプログラムを使ってリー郡の州選挙ウェブサイトに不正アクセスし、アクセス中に選挙事務所職員のユーザー名とパスワードを複数入手した」と伝えられている。「その後、レビン容疑者はさらに一歩進み、リー郡監督官のユーザー名とパスワードを使って、パスワードで保護された他のエリアにもアクセスした。」
「このすべては、レビン氏が選挙事務所に許可を求めることなく行われた。」
警察は2月の捜索でレビン氏の自宅からコンピューターを押収した。
@troyhunt さんの言う通り、私も傲慢さに負けてしまいました。これからは「トロイならどうするだろう?」と自問自答します。#WWTD https://t.co/oPF5gaCrR2
— デビッド・レビン (@realDavidLevin) 2016 年 5 月 9 日
レビン氏は、選挙管理官のダン・シンクレア氏がHavijセキュリティツールを使って脆弱性を発見した様子をYouTube動画で撮影し、SQLインジェクションの詳細を説明した。シンクレア氏によると、その後、平文で保存された認証情報を使って管理官アカウントにログインしたという。
「これは10年前のシステムと同じくらい高度なものだが、今は2016年だ」とレビン氏は動画の中で述べている。シンクレア氏は、レビン氏は「何も悪いことはしていない」「内部告発者だ」と述べ、逮捕は恐ろしいものだと表現した。
「デイブはこれらの問題を引き起こしたのではなく、報告しただけだ」とシンクレア氏は述べ、選挙事務所はこれまで侵入を検知できなかったと付け加えた。レビン氏はまた、州に対し、このセキュリティホールを修復し、さらなる侵入を検知するための防御策も提示した。
ブートノート
セキュリティ専門家の Dan Kaminsky 氏の 2012 年のホワイトハット ハッカー ガイドは、逮捕されることなくインターネット セキュリティの悲惨な状況を逆転させたいと願うバグ ハンターにとって、今でも確かなアドバイスとなっていることは注目に値します。
画像: Dan Kaminsky。
®
