W ostatnich dniach lipca serwis brytyjskiego kontrwywiadu padł ofiarą ataku XSS (ang. cross-site scripting). Zdawałoby się, że MI5 nie powinno mieć problemów z zabezpieczeniem swojej strony, ale osoba podpisująca się jako [-TE-]-Neo udowodniła co innego. Czytelnicy Dziennika Internautów, przeglądając forum grupy dokonującej ataków, zauważyli, że podobne manipulacje zostały wykonane także na kilku polskich stronach. Należą do nich m.in. Polska Agencja Prasowa, Bank Polskiej Spółdzielczości i Nordea Bank Polska.

Poszukiwaczy luk bezpieczeństwa nie brakuje i na naszym rodzimym gruncie. W tym roku Dziennik Internautów pisał o błędach znalezionych w serwisie społecznościowym Nasza-Klasa, geolokalizatorze Zumi i poczcie Onet.pl. Niemal co tydzień otrzymujemy e-maile z informacjami o dziurach umożliwiających np. osadzanie skryptów w treści atakowanej strony. Jak to wygląda z prawniczego punktu widzenia?

Na pytania Dziennika Internautów odpowiedział Marcin Błaszyk - prawnik SLC, współautor bloga blaszyk-jarosinski.pl.

DI: Czy osoba, która znalazła lukę, zobowiązana jest do poinformowania o niej właściciela serwisu?

MB: Nie istnieje taki prawny obowiązek. Jednak należy przyjąć, że ze względu na normy moralne i w imię ochrony interesów użytkowników serwisu należałoby poinformować serwis o istniejącej luce.

DI: Czy można upublicznić informację o luce bez wcześniejszego skontaktowania się z podmiotem, którego ona dotyczy?

MB: Zauważmy, że z reguły nie ma winy serwisu w tym, że jest on wykonany w sposób, który umożliwia dokonanie ataku. Większe aplikacje niemal zawsze zawierają jakieś luki, które mogą być wykorzystane w celu dokonania ataku. A skoro tak, to ujawnienie takiej informacji może być zakwalifikowane jako naruszenie dobrego imienia - renomy serwisu. W takim przypadku serwis mógłby żądać zadośćuczynienia pieniężnego, a w przypadku powstania szkody majątkowej także odszkodowania.

Zwróciłbym jednak uwagę na postanowienia art. 52 ustawy o ochronie danych osobowych. Przepis ten reguluje odpowiedzialność karną za choćby nieumyślne naruszenie nałożonego na administratora danych osobowych obowiązku zabezpieczenia danych przed ich zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem. Czyn taki kwalifikowany jest jako przestępstwo ścigane z urzędu, zagrożone karą grzywny, ograniczenia wolności lub pozbawienia wolności do roku.

Z kolei zgodnie z art. 304 § 1 Kodeksu postępowania karnego każdy, kto dowiedział się o popełnieniu przestępstwa ściganego z urzędu, ma społeczny obowiązek zawiadomić o tym prokuratora lub policję. Jednak obowiązek jest społeczny, tak więc nie ma żadnej sankcji za jego niespełnienie. W związku z powyższym, jeżeli poweźmiemy wiedzę o luce, która umożliwia nielegalne pobranie danych osobowych użytkowników serwisu, mamy obowiązek powiadomić o tym fakcie organa ścigania.

DI: Czy można przeprowadzić atak demonstracyjny w celu udowodnienia, że luka istnieje? Jak to zrobić, by nie złamać przepisów prawa?

MB: Trudno jednoznacznie odpowiedzieć na tak zadane pytanie. Jeżeli działanie takie prowadzone byłoby w ramach tzw. prowokacji dziennikarskiej, sąd rozstrzygając w ewentualnej sprawie musiałby podjąć trudną decyzję, czy wykonanie takiego ataku demonstracyjnego mieściłoby się w tym nieostrym pojęciu, czy też nie.

DI: Co grozi za wykorzystanie znalezionej luki?

MB: W rozdziale XXXIII Kodeksu karnego znajdziemy cały katalog przestępstw przeciwko ochronie informacji, w przypadku ataków na serwer można także rozważać kwalifikację ze względu na przepis art. 287 Kodeksu karnego. W zależności od kwalifikacji prawno-karnej czyn polegający na wykorzytaniu luki w celu przeprowadzenia ataku, w zależności od skutków i celu samego ataku, mógłby być zagrożony karą pozbawiania wolności nawet do lat 8.