Министерство юстиции США обещает не преследовать исследователей безопасности
В пресс-релизе от 19 мая американское Министерство юстиции сообщает, что не будет привлекать к ответственности исследователей за обнаружение уязвимостей в системах безопасности или за создание поддельных профилей в социальных сетях. Регулятор решил последовать рекомендациям Верховного суда США, который настаивал на отказе от возбуждения федеральных дел из-за нарушений политики компании или ресурса. Новые правила Минюста не предусматривают судебное преследование из-за неправомерного использования компьютерных систем, к которой у пользователя есть авторизованный доступ.
Ведомство разъяснило, что применение, принятого в 1984 году и обновленного в 1986 году, закона «О компьютерном мошенничестве и злоупотреблениях» (CFAA) должно быть ограничено, если субъект проводит добросовестное исследование в области безопасности. Минюст отмечает, что в данную категорию подпадает использование компьютера для тестирования, расследования или исправления неисправностей систем безопасности или поиска уязвимостей, если действия субъекта не допускают вреда отдельным лицам или общественности. В министерстве подчёркивают, что добытые сведения должны быть использованы для защиты устройств и онлайн-сервисов.
В пресс-релизе регулятор сообщает о своей незаинтересованности в преследовании добросовестных исследователей, которые находят уязвимости для всеобщего блага.
В соответствии со старой версией CFAA правоохранительные органы могли инициировать преследование любого, кто пытается получить доступ к файлам, компьютерам, вычислительным системам и сторонним сайтам при наличии законного доступа к данным системам. По мнению экспертов, в новом виде документа достаточно расплывчатых формулировка, однако его текущая форма имеет больше конкретики.
Верховный суд ограничил применение термина «злоупотребление авторизованным доступом» в случаях несанкционированного использования систем, к которым у пользователей есть законный доступ.
Ранее правоохранители могли обвинить пользователей в совершении федерального преступления за недостоверные сведения в сервисах онлайн-знакомств, использование псевдонима в соцсетях, правила которых запрещают это, оплату счетов с рабочего устройства и по другим причинам. Теперь субъектами преследования станут лица, не имеющие авторизованного доступа к компьютеру или отдельным элементам системы.