文章出处: http://goo.gl/ffEU6b
研究人员揭露软件漏洞,反被FBI当成骇客突袭调查
安全研究人员Justin Shafer发现了Eaglesoft牙医诊所管理软件使用固定的数据库密码,
且在FTP服务器上曝露了2.2万名牙医病患的资料,2月告知Patterson Dental及资料外泄
的2.2万名病患,但在上周二他被FBI以涉嫌违反美国电脑诈欺与滥用法令突袭调查。
36岁的安全研究人员Justin Shafer上周二(5/24)凌晨在家中遭到十多名FBI探员突袭,
起因为他揭露了一款牙医诊所管理软件的储存安全漏洞,被控违反美国的电脑诈欺与滥用
法令(Computer Fraud and Abuse Act,CFAA)。
Shafer所调查的对象是Patterson Dental所开发的Eaglesoft牙医诊所管理软件,今年初
他发现了Eaglesoft使用固定的数据库密码,且在FTP服务器上曝露了2.2万名牙医病患的
资料。Patterson Dental于今年2月关闭了FTP服务器,美国电脑紧急应变中心US-CERT则
是在3月针对该漏洞提出警告。
根据Shafer向Daily Dot的描述,他是在上周二早上六点半听到连续的电铃声与激烈的敲
门声,从睡梦中被吵醒的第一个想法是他父亲过世了,然而他开门一看,却是有十多名
FBI探员持枪出现在门口,他被上了手铐,探员们扣押了29项物品,屋内还有吓傻了的老
婆与三个小孩。
FBI告诉Shafer,Patterson Dental指控他在调查相关漏洞时违反了CFAA法令。
专门收录大量游戏、驱动程式与各种软件资讯的Softpedia认为,CFAA中的某些规定让美
国政府可以把安全研究人员当作犯罪份子来对待,如同有人在路上捡到钱包再还给失主还
会被当成是小偷一样。
事实上,Shafer在发现Eaglesoft软件漏洞之后,已于今年2月告知Patterson Dental,也
通知了资料外泄的2.2万名病患。
与CFAA法令有关的另一起争议的案例是14岁就参与RSS 1.0版规格制定,为Reddit社交新
闻网站共同创办人的Aaron Swartz,他在2011年被控攻击连结MIT网络的一台笔电,并下
载400万笔的学术文章,检察官认为Swartz非法持有来自受保护电脑的资讯并企图散布。
Swartz在2013年于家中自缢身亡,享年26岁。