Un consultant en informatique en Allemagne a été condamné à une amende de 3 000 euros pour avoir découvert et signalé une vulnérabilité dans la base de données d’un site de commerce électronique qui exposait près de 700 000 données clients. La vulnérabilité était due à un mot de passe en clair stocké dans le logiciel utilisé par le site. Cette décision a suscité la frustration des experts en sécurité qui estiment qu’elle crée un précédent inquiétant pour la recherche légitime en matière de sécurité.
En septembre 2021, la police allemande a saisi les ordinateurs du consultant suite à une plainte de Modern Solution qui affirmait qu’il n’aurait pu obtenir le mot de passe que par une connaissance interne – il avait travaillé auparavant pour une entreprise liée – et que l’entreprise l’accusait d’être un concurrent. La justification de cette supposition n’est toutefois pas très convaincante sur le plan technique.
Le consultant, identifié sous le nom de Hendrik H., travaillait pour un client de la société de services informatiques Modern Solution GmbH. En juin 2021, il a découvert que le logiciel de Modern Solution établissait une connexion MySQL à un serveur de base de données MariaDB exploité par le fournisseur. Il s’est avéré que le mot de passe pour accéder à ce serveur distant était stocké en clair dans le fichier du programme MSConnect.exe, et qu’il suffisait de l’ouvrir dans un simple éditeur de texte pour révéler le mot de passe en dur.
Avec ce mot de passe facile à trouver, n’importe qui pouvait se connecter au serveur distant et accéder aux données appartenant non seulement à ce client de Modern Solution, mais aussi aux données de tous les clients du fournisseur stockées sur ce serveur de base de données. Ces données comprenaient des informations personnelles sur les clients de ces clients, tels que les noms, les prénoms, les adresses électroniques, les numéros de téléphone, les coordonnées bancaires, les mots de passe et les historiques de conversation et d’appel.