But the court ruling says: yes, there was a password, so there is a protection mechanism which was circumvented, and that’s hacking.
nu stiu detalii, dar cand te logezi la un server care nu e al tau fara sa ai acordul ownerului… e un risc.
ca aia au fost muisti, no dubt!
Ai gasit o cheie pe strada, scrie adresa pe breloc, ce faci? O raportezi la politie sau te duci la adresa aia si descui usa si intri?
Din ce am înțeles, situația este:
- vendorul a livrat un soft spre beneficiar
- softul face request-uri spre vendor[1]
- pentru a face request-urile alea, vendorul a inclus și niște chei de acces. Și nu doar că le-a inclus, erau în clar
- beneficiarul a folosit cheile mai sus menționate. Cheile nu doar uitate ci puse intenționat în produs.
Cum se compară asta cu „am găsit niște chei pe stradă, mă duc să descui ușa”?
După spusele lor, nici măcar nu au decompilat programul, sau ceva de genul:
The defendant stated that he had only viewed the file in question (MSConnect.exe) with a text editor and thus read the database password in plain text. He found this in the immediate vicinity of other, known connection data from the MySQL connection he had previously observed.
Este o situația care se poate întâmpla oricăruia dintre noi.
Anecdotic, am așa:
- câteva cazuri în care site-ul era lent pentru că făcea un request spre un vendor și aștepta după un timeout (nu erau parole la mijloc, dar cu siguranță ar fi putut fi).
- chiar zilele trecute am avut un site care accesa un API (de data asta avea o cheie de acces) despre care clientul nu era sigur ce este.
cu sau fără știrea beneficiarului, puțin important în acest context. ↩︎