Студенты на Мальте, начинающие исследователи, в качестве гонорара по BugBounty получили уголовное дело и могут присесть на 4 года после раскрытия уязвимости в ПО FreeHour, которое используется местными образовательными учреждениями.
Как сообщает Times of Malta студенты сообщили об уязвимости разработчику приложения в октябре прошлого года, предоставив ему трехмесячный срок для исправление и намекнули на вознаграждение.
Джорджио Григоло, Майкл Дебоно, Люк Бьорн Шерри и Люк Коллинз сканировали ПО, когда обнаружили уязвимость, которую, по их словам, могли использовать злоумышленники.
Обнаруженная ими уязвимость могла привести к потенциальной утечке личных данных пользователей ПО, включая адреса электронной почты, данные о местоположении и календаря Google.
Ошибка также позволяла вносить изменения в интерфейс приложения, чем они однажды воспользовались, чтобы убедиться в ее практической применимости.
Все получилось, поскольку основанная на Parse инфраструктура FreeHour, как оказалось, не была должным образом адаптирована.
После апробации студенты решили направить результаты своих изысканий по электронке разработчику. Намекнув на гонорар, тем не менее не называли конкретную сумму.
К удивлению юных ресерчеров через месяц после этого к ним нагрянули силовики с арестом и обысками. Им предъявили обвинения в несанкционированном доступе и изъяли компьютерную технику.
В свою очередь, FreeHour в своем блоге заявили, что неправильно истолковали первоначальный отчет и приняли его за попытку вымогательства, уведомив об этом власти соответствующим образом.
По итогу рецепт BugBounty по-мальтийски: FreeHour отрапортовала об и исправлении уязвимости и сохранности всех пользовательских данных, киберполицейские срубили галку, а юные дарования - уголовку.
