ИБ-эксперты обвинили Voatz в недобросовестности

[Artifact]

В экспертном заключении Voatz написала, что независимые аудиты кода и тесты на проникновение не являются авторизованными мерами.

Рассматриваемое в Верховном суде США дело, которое может привести к изменениям в федеральный закон «О компьютерном мошенничестве и злоупотреблении» (CFAA), предполагающим наказание за «неправомерное» использование технологий, не разрешенное производителем ПО, станет препятствием в исследованиях безопасности. Такое мнение содержится в https://disclose.io/voatz-response-letter/ , подписанном почти 70 исследователями в области безопасности и ИБ-компаниями, включая специалистов Мичиганского Универсистета, Университета Джона Хопкинса, Bugcrowd, HackerOne и Trail of Bits.
Открытое письмо стало ответом на направленное в Верховный суд экспертное заключение разработчика приложения для голосования Voatz, в котором компания утверждает, что испытательные лаборатории, аудиты безопасности и программы выплат за уязвимости являются авторизованными формами тестирования защиты, и этого достаточно, чтобы гарантировать безопасность. В свою очередь, независимые аудиты кода и тесты на проникновение, не являются авторизованными мерами и должны подпадать под действие CFAA как «превышающие авторизованный доступ».
Речь идет об апелляции по https://www.supremecourt.gov/search....ic/19-783.htmlсержанта полиции из штата Джорджия Нэйтана Ван Бурена (Nathan Van Buren), который был признан виновным в использовании государственной базы данных в корыстных целях. Имея официальный доступ к БД, Ван Бурен воспользовался ею для своей выгоды, чем, по мнению прокуратуры, нарушил CFAA.
Как опасаются ИБ-эксперты, если Верховный суд решит, что Ван Бурен действительно преступил закон, это может превратить независимое исследование уязвимостей в «неавторизованный доступ» и, следовательно, повлечь уголовное наказание.
В письме подписавшиеся указывают, что исследование безопасности является жизненно важной мерой и улучшает безопасность систем в сфере голосования, здравоохранения, транспортной сфере и пр.
Эксперты обвинили Voatz в недобросовестности по отношению к исследователям безопасности, а также припомнили компании решение «сдать» властям студента Мичиганского Университета, обнаружившего уязвимость в ее приложении, ссылаясь на «неавторизованный доступ». В свою очередь представители Voatz заявили, что ИБ-эксперт не принимал участие в программе bug bounty компании, и это была неудавшаяся попытка «внести изменения в систему в реальном времени во время выборов».