DOJ зобов'язує не стягувати з питань безпеки дослідників із злочинами
Закон зазнав декількох поправок протягом останніх кількох десятиліть, але загальне відчуття тривоги зберігається. Користувачі смартфонів переживають, що порушення будь-яких умов надання програми (TOS) може підпорядкувати їх здоровенні штрафи, тоді як дослідники з кібербезпеки повинні досліджувати вразливості з великою обережністю, боячись порушити один із погано помітних правил CFAA. Навіть Верховний Суд підштовхнув Міністерство юстиції (DOJ) звузити обсяг CFAA. Тепер DOJ намагався погіршити ці проблеми, випустивши переглянуту політику, яка мала на меті захистити повсякденних користувачів Інтернету та дослідників.
Оголошено наприкінці минулого тижня, політика окреслює ряд факторів, які DOJ використовуватиме вперед, щоб визначити, чи слід переслідувати. Більшість факторів стосуються того, наскільки ймовірно, що несанкціонований або необмежений доступ полягає у тому, щоб заподіяти фактичну шкоду, особливо «національної безпеки, критичної інфраструктури, охорони здоров'я та безпеки, цілісності ринку, міжнародних відносин чи інших міркувань, що мають широкий або суттєвий вплив на національний або економічні інтереси ». Якщо цей ризик низький, і доступ, схоже, не пов'язаний з більшою кримінальною загрозою, DOJ навряд чи буде притягнути до кримінальної відповідальності. DOJ також явно рекомендується відмовитися від притягнення до відповідальності, якщо доступ пов'язаний з "досліджень безпеки добросовісної безпеки" недоліки безпеки або вразливості. Звичайно, "добросовісність" означає, що дослідник має намір повідомити або виправити вразливість; Ті, хто сподівається використати недолік безпеки, тут не захищені.
Документ DOJ ілюструє свою думку за допомогою прикладів реального життя актів, які він не буде притягнути до кримінальної відповідальності. Навіть якщо роботодавець людини видає їм комп'ютер для працівників лише для використання, DOJ не вважатиме порушенням працівника використовувати цей комп’ютер для оплати рахунків або пошуку спортивних балів. Агентство не прийде після тих, хто створює вигадані рахунки на веб -сайтах з найму чи житла, а також не націлює тих, хто використовує псевдоніми в соціальних мережах, які забороняють це. І як вказував Вержа, лежачи на Tinder більше не можна вважати злочином під CFAA-в той можливо.
Однак кілька змін політики є ідеальними; Подивіться на п'ятий розгляд DOJ, в якому заявлено, що агентство може притягнути до кримінальної відповідальності, якщо воно відчує необхідність стримувати інших від проведення подібного доступу. Це може означати що завгодно, навіть якщо перегляд політики говорить, що цей фактор включає (але не обмежується цим) "нові" сфери злочинної діяльності або методи доступу. Але в цілому ця редакція повинна полегшити зітхання - навіть лише для тих із нас, хто з нетерпінням чекав наступного сезону сома.