Na forum porad prawnych pojawił się ciekawy przypadek. Student znalazł na stronie "firmy produkującej luksusowe samochody" szereg dziur. Były to błędy SQL injection, a więc ewidentnie zawinione przez programistów tworzących serwis. Ich skutki mogły być poważne - dzięki dostępowi do bazy danych można było np. wyciągnąć dane osobowe klientów - skoro "luksusowe samochody" to zapewne raczej osób majętnych.

Student napisał więc do autorów serwisu informując ich o tym problemie i oferując swoją pomoc w zabezpieczeniu serwisu. Oczywiście odpłatnie. W odpowiedzi firma zaprosiła go do siebie celem podpisania umowy. Tam jednak czekała policja. Student ma postawione zarzuty z paragrafu 267 Kodeksu Karnego ("kto bez uprawnienia uzyskuje informację dla niego nie przeznaczoną, otwierając zamknięte pismo, podłączając się do przewodu służącego do przekazywania informacji lub przełamując elektroniczne, magnetyczne albo inne szczególne jej zabezpieczenie").

Z opisu wynika, że reakcja firmy była przesadna. Reakcja policji także była przesadna, jeśli weźmiemy pod uwagę że wejście przez SQL injection nie jest żadnym "przełamaniem zabezpieczeń". Z drugiej jednak strony - ja to wiem, Państwo wiedzą - ale policja tego wiedzieć nie musi. Od tego ma biegłych, żeby stwierdzili czy "przełamano" czy nie. A do tej pory musi zabezpieczyć ewentualne ślady włamania czyli na przykład zatrzymać komputery podejrzanego. To, że w polskim wymiarze sprawiedliwości takie zatrzymanie (nieraz na kilka lat) ma charakter represji to już inna sprawa...

Warto zwrócić uwagę, że policja zaproponowała studentowi dobrowolne poddanie się karze. Od Artura Kmieciaka (prawnik, który walczył z ZUS w sprawie Janosika) wiem, że tak zdarza się często, także w sprawach o piractwo. Dobrowolne poddanie się karze jest z punktu widzenia policji pożądane, bo poprawia statystyki i bezproblemową kończy sprawę. Oznacza ono de facto przyznanie się do winy i do wszystkich zarzutów. W tym
przypadku byłaby to ze strony oskarżonego faktyczna zgoda na bezprawie - po pierwsze ze względu na prawdopodobnie nieprawdziwy zarzut, po drugie ze względu na działanie firmy, która zorganizowała prowokację.

Na przyszłość warto pamiętać, że nie należy się podkładać - jak mówi stare przysłowie "dobrymi chęciami piekło jest wybrukowane". Bezpieczeństwo to działka wiążąca sie z bardzo duża odpowiedzialnością,
a już w przypadku testów penetracyjnych które są de facto kontrolowanymi włamaniami granica między "kontrolowanym" a "włamaniem" jest bardzo cienka i wykonawca musi po prostu mieć papiery na to, że działa na zlecenie właściciela serwisu.

Co robić w takich przypadkach? Przede wszystkim zanim się coś zrobi, warto pomyśleć. Firma, która otrzymuje informację o tym że ktoś może naruszyć w jej serwisie ustawę o ochronie danych osobowych i
równocześnie dostaje przyjacielską ofertę naprawienia tych dziur "za drobną opłatą" może pomyśleć, że pada ofiarą zwykłego rekietu. Nie jest to słuszna ocena sytuacji, ale taka ocena jest usprawiedliwiona.

Żadna szanująca się firma z branży testów bezpieczeństwa nigdy nie zaoferowałaby swoich usług w ten sposób. Kilka firm próbowało - tzn. publikowały raporty o "dziurach w polskiej bankowości internetowej"
oczekując na wysyp zamówień, ale reakcja potencjalnych zleceniodawców z sektora bankowego była zwykle wprost przeciwna. Tak się po prostu nie robi.