El consultor de seguridad Eric McCarty,descubrió un bug en la página de la Universidad de California que permitía averiguar la información de los solicitantes a la misma.Con ayuda de una periodista denunció el bug y para demostrarlo obtuvo la información personal de 7 solicitantes.Ahora la ley fiscal de los ángeles le acusa de violar la ley federal contra el delito informático y McCarty podría acabar en la cárcel.Vía:http://kriptopolis.org/node/2267
No publicó datos personales sin autorización,al menos,tal y como yo entiendo la noticia,se los dio a la periodista para demostrar dicho error y la periodista no lo publicó (al menos eso se desprende de su anuncio http://www.securityfocus.com/news/11239). Le acusan de mostrar dicho bug,o de hacerlo público sin contactar previamente con la Universidad (que luego solucionó el problema),y por acceder a información personal de los solicitantes.
Desconocía ese dato,pero algo parecido comentan en la segunda parte de la noticia.De todas formas le puse ese título por que era el título que tenía en Kriptópolis...
El principal motivo fue el desconocimiento de el Dpto Informático de la Universidad de California. Eric McCarty les aviso que tenían un fallo de seguridad de SQL inyeccion. La Universidad de California, no hizo caso, porque no entendían a que se refería. Eric, recolecto algunos datos y les demostró la vulnerabilidad. Eric no fue la primera persona que encontró la vulnerabilidad, sólo fue la primera en demostrarlo (y evitar que ese agujero siguiera ahí), y asi lo pago.
No debió hacerlo público sin suscribir una demanda judicial. El chivatazo sin compromiso coloca a las democracias en sistemas policiales y mafiosos. Quien descubre un bug tiene derecho a ser recompensado, puede renunciar a la recompensa en un entorno de desarrollo GNU.
Comentarios
Mostrar un bug no es ilegal.
Publicar datos personales sin autorización si.
No publicó datos personales sin autorización,al menos,tal y como yo entiendo la noticia,se los dio a la periodista para demostrar dicho error y la periodista no lo publicó (al menos eso se desprende de su anuncio http://www.securityfocus.com/news/11239). Le acusan de mostrar dicho bug,o de hacerlo público sin contactar previamente con la Universidad (que luego solucionó el problema),y por acceder a información personal de los solicitantes.
Desconocía ese dato,pero algo parecido comentan en la segunda parte de la noticia.De todas formas le puse ese título por que era el título que tenía en Kriptópolis...
Estoy con el comentario de #1 y por lo tanto el título es erróneo (sensacionalistamente falso).
Un título acorde con el contenido sería: "A la cárcel por violar una ley federal de los EEUU", pero claro, la noticia sería irrelevante ¿no?
#3 En todas partes es igual. Compartir información privada es sinónimo de hacerla pública. No es necesario que se publique en ningún sitio.
"Ná", que soy un quisquilloso. Ya vi que el título fue tomado del artículo de Kriptopolis. A mi juicio se hace un uso excesivo del "amarillismo".
En cualquier caso el artículo pone de manifiesto que algo realizado con la mejor intención, puede, por desconocimiento, tener efectos "secundarios".
El principal motivo fue el desconocimiento de el Dpto Informático de la Universidad de California. Eric McCarty les aviso que tenían un fallo de seguridad de SQL inyeccion. La Universidad de California, no hizo caso, porque no entendían a que se refería. Eric, recolecto algunos datos y les demostró la vulnerabilidad. Eric no fue la primera persona que encontró la vulnerabilidad, sólo fue la primera en demostrarlo (y evitar que ese agujero siguiera ahí), y asi lo pago.
No debió hacerlo público sin suscribir una demanda judicial. El chivatazo sin compromiso coloca a las democracias en sistemas policiales y mafiosos. Quien descubre un bug tiene derecho a ser recompensado, puede renunciar a la recompensa en un entorno de desarrollo GNU.