GN⁺: 동기들이 중죄 혐의로 협박할 때
(miles.land)- 학우들로부터 선의로 보안 연구를 하다가 법적 위협을 받은 경험을 공유하는 저자
- 저자와 보안에 관심이 있는 친구들이 Fizz라는 익명의 소셜 미디어 앱에서 취약점을 발견함
- 그들은 Fizz에 취약점을 책임감 있게 알렸으나, 문제를 해결하는 대신 Fizz가 위협을 보내고 침묵을 요구함
- 저자는 Electronic Frontier Foundation (EFF)에 법적 도움을 요청하고 Fizz의 위협에 대한 대응을 초안으로 작성함
- 상황은 친근하게 해결되었고, Fizz는 결국 사용자들에게 문제를 공개함
- 저자는 경험을 돌아보며 연구를 합법적으로 진행하고 잘 문서화하는 것, 법적 위협에 진정하며 변호사의 지원을 받는 것 등 세 가지 주요 교훈을 공유함
- 저자는 결론적으로 취약점 공개 과정의 다른 측면에서 경험을 공유하는 다른 연사자에게 이야기를 넘김
Hacker News 의견
- EFF의 직원 변호사가 CFAA 위반에 대한 주장에서 과장한 발언을 할 수도 있었다.
- 연구원들은 허가 없이 관리자 계정을 생성하여 법을 위반한 가능성이 있다.
- 연구원들은 선의의 의도와 중대한 피해의 부재로 인해 법적인 결과에 직면할 가능성이 적다.
- Fizz의 변호사들은 형사 소송을 위협함으로써 주의를 기울여야 할 규정을 위반한 실수를 저질렀다.
- 이 기사는 보안 연구자들에 대한 호의적인 변화를 반영하며, 현재 정보 공개의 처리 방식에 대한 긍정적인 변화를 보여준다.
- Stanford Daily 기사는 Fizz의 개인 정보 침해와 보안 조치의 부재의 정도를 드러낸다.
- Fizz의 Ashton Cofer와 Teddy Solomon은 상황에 대해 약하게 대응하고 추가적인 의견 제시를 거부했다.
- 법적 위협의 결과와 책임의 필요에 대한 논의가 진행 중이다.
- 보안 정보 공개에서 시행일을 지정하는 가치에 대한 의문이 제기되고 있다.
- 보안 연구자들이 취약점을 개인 브랜딩을 위해 활용하는 경향에 대한 비판이 있다.
- 법적인 괴롭힘과 적극적인 메커니즘의 필요성에 대한 도전이 언급되었다.
- 이 기사는 Fizz가 사용자 데이터 보호 실패를 지적한 점에서 칭찬받고 있다.