01/07/19
Болгарская полиция арестовала ИБ-эксперта Петко Петрова (Petko Petrov) за обнародование процесса эксплуатации уязвимости в программном обеспечении, используемом местными детскими садами. С помощью уязвимости исследователю удалось загрузить данные о более 236 тыс. жителей болгарского города Стара-Загора.
Видео с демонстрацией уязвимости эксперт опубликовал в Facebook на прошлой неделе. В ролике показано, как Петков запустил автоматизированную атаку на муниципальный web-портал, где родители могу записать своих детей в сад, и, воспользовавшись уязвимостью, загрузил данные граждан. В описании к видео эксперт отметил, что пытался связаться с производителем ПО и местными властями, однако его сообщение осталось проигнорированным.
Петков также добавил ссылку на GitHub-репозиторий с PoC-кодом, который мог загрузить любой желающий.
Специалист был арестован в пятницу, 28 июня, но спустя 24 часа выпущен на свободу. Сейчас власти рассматривают возможность предъявления эксперту обвинения в получении государственной информации незаконными способами. В случае возбуждения уголовного дела и признания Петкова виновным ему грозит тюремное заключение сроком от 1 до 3 лет и штраф в размере до 5 тыс. болгарских левов (примерно 184 тыс. рублей).
В настоящее время уязвимое программное обеспечение производства компании Information Services AD уже удалено с муниципального сайта.
