Hrozba žaloby od majitele nezabezpečeného NVR

Hrozba žaloby od majitele nezabezpečeného NVR
« kdy: 21. 02. 2020, 13:39:15 »
Zdravím pánové,

je to pár sekund co se mi stala taková patálie, našel jsem na internetu NVR co mělo defaultní login.
Po hodině hledáni jsem přišel na to koho to je a dotyčnému dal echo o nastalé situaci. Ten mi poděkoval. (milý starší pán)
Asi po čtvrt hodině mě volal technik s klasickými otázkami  jak, kde....a zakončil to debatou o tom že je to nelegální a jestli jsem s tím něco provedl bude mě žalovat. (už byl mírně agresivní) A nechtěl si přiznat že žádné hackovaní zařízení které asi on nainstaloval nebylo.

Otázka zní, jak moc může jeho žaloba být velká, a co mi hrozí za mou dobrotu?
« Poslední změna: 21. 02. 2020, 13:51:41 od Petr Krčmář »


Re:Hrozba žaloby od majitele nezabezpečeného NVR
« Odpověď #1 kdy: 21. 02. 2020, 13:52:48 »
Pokud jsi upozornil na defaultní login, tak se ti nic stát nemůže. Technikovi by mohlo.

Re:Hrozba žaloby od majitele nezabezpečeného NVR
« Odpověď #2 kdy: 21. 02. 2020, 13:55:39 »
Právníci, které znám, se shodují na tom, že i použití výchozího přihlašovacího hesla je neoprávněný přístup k počítačovému systému, samozřejmě pokud se nejedná například o objednané penetrační testování.

RDa

  • *****
  • 2 465
    • Zobrazit profil
    • E-mail
Re:Když jsem upozornil majitele NVR
« Odpověď #3 kdy: 21. 02. 2020, 13:57:15 »
Nic by se ti nemelo stat - nemaji jak prokazat ze nejakou neplechu si provedl konkretne ty. A zadruhe pochybuji, ze slo o neco vice, nez nejaky vylev technika amatera.

Je to asi stejny problem, jako dukazna nouze u stahovani skrze otevrenou wifi - tim, ze oni meli zarizeni otevrene do celeho internetu, nemuzou rict, ze jsi to provedl konkretne ty - skudcu tam mohlo byt mnoho jinych.

A pro priste - doporucuji nahravat si hovory - takove nahodne arogantni vyhrozovace je nutno mit zalogovano elektronicky, at ma clovek klidne spani a nepremysli nad tim, zda to mysleli vazne nebo ne :)

Re:Hrozba žaloby od majitele nezabezpečeného NVR
« Odpověď #4 kdy: 21. 02. 2020, 14:19:06 »
Děkuji za odezvu, a propo měl jsem ho upozornit že moje xiaomi automaticky nahrává tento rozhovor. Ale naučil jsem se to říkat jen když volá nějaká reklama.
Pročetl jsem i odkaz na daný zákon, a pár bodů by se asi našlo. ale nic co by odvrátilo konaní dobra :-D.

Ještě jednou íki za reakce :-) .


Re:Hrozba žaloby od majitele nezabezpečeného NVR
« Odpověď #5 kdy: 21. 02. 2020, 15:54:10 »
Právníci, které znám, se shodují na tom, že i použití výchozího přihlašovacího hesla je neoprávněný přístup k počítačovému systému, samozřejmě pokud se nejedná například o objednané penetrační testování.

Souhlasím. Ale aby to bylo trestné musel by tam ještě být i úmysl a společenská škodlivost podle §12 (2) a §13 (2).

Takže náhodný objev s oznámením problému majiteli by měl být úplně v pohodě.

Re:Hrozba žaloby od majitele nezabezpečeného NVR
« Odpověď #6 kdy: 22. 02. 2020, 07:46:26 »
Právníci, které znám, se shodují na tom, že i použití výchozího přihlašovacího hesla je neoprávněný přístup k počítačovému systému, samozřejmě pokud se nejedná například o objednané penetrační testování.

V tomto případě naprosto souhlasím. Jedná je o neoprávněný přístup k počítačovému systému(pokud  se přihlásil). Definice je naprosto zjevná,snadno pochopitelná a navíc ani neumožnuje více verzí výkladu jak je to v naší legislativě běžné.

Na podání žaloby to skutečně je. Dále je otázka důkazů, jak jsi s nimi komunikoval(telefonní záznam, mail = může být použít jako přímý/nepřímý důkaz ) atd.. . Prostě pokud jsi narazil na kokoty mohou ti velmi znepříjemnit život.

RDa

  • *****
  • 2 465
    • Zobrazit profil
    • E-mail
Re:Hrozba žaloby od majitele nezabezpečeného NVR
« Odpověď #7 kdy: 22. 02. 2020, 09:41:22 »
V tomto případě naprosto souhlasím. Jedná je o neoprávněný přístup k počítačovému systému(pokud  se přihlásil). Definice je naprosto zjevná,snadno pochopitelná a navíc ani neumožnuje více verzí výkladu jak je to v naší legislativě běžné.

To by jste se divil - jednoznacne vyklady zakonu temer neexistuji. Citace "Kdo překoná bezpečnostní opatření," znamena, ze musite prekonat ono opatreni - zde se konkretne jedna o zabezpeceni elektronickeho systemu pripojeneho do site / Internetu. Kazdy znalec IT bezpecnosti rekne, ze musi byt nastaveno heslo (a to netrivialni a ne ze seznamu leaknutych hesel). Tudiz system, ktery vyuziva vychozich hesel, verejne znamych, nelze povazovat za system, na kterem bylo jakekoliv opatreni provedeno - zalujici stranou - majitelem/provozovatelem. Opacny nazor maji zrejme pravnici co stoji na druhe strane sporu :-)

Dotaz na zalujici stranu / admina by byl: Jake bezpecnostni opatreni jste provedl? ... zadne ... a navic to pripojil do verejne site. Takze bod (1) zakona nebude pro tento pripad platit.

Co bod (2), kde se nevyzaduje prekonani niceho - ten by jiz platit na default heslo mohl. Ale to by pan musel neco skaredeho provest podle bodu a) az d) ... a muselo by mu to byt prokazano.


Re:Hrozba žaloby od majitele nezabezpečeného NVR
« Odpověď #8 kdy: 22. 02. 2020, 11:34:41 »

To by jste se divil - jednoznacne vyklady zakonu temer neexistuji. Citace "Kdo překoná bezpečnostní opatření," znamena, ze musite prekonat ono opatreni - zde se konkretne jedna o zabezpeceni elektronickeho systemu pripojeneho do site / Internetu. Kazdy znalec IT bezpecnosti rekne, ze musi byt nastaveno heslo (a to netrivialni a ne ze seznamu leaknutych hesel). Tudiz system, ktery vyuziva vychozich hesel, verejne znamych, nelze povazovat za system, na kterem bylo jakekoliv opatreni provedeno - zalujici stranou - majitelem/provozovatelem. Opacny nazor maji zrejme pravnici co stoji na druhe strane sporu :-)

Dotaz na zalujici stranu / admina by byl: Jake bezpecnostni opatreni jste provedl? ... zadne ... a navic to pripojil do verejne site. Takze bod (1) zakona nebude pro tento pripad platit.

Co bod (2), kde se nevyzaduje prekonani niceho - ten by jiz platit na default heslo mohl. Ale to by pan musel neco skaredeho provest podle bodu a) az d) ... a muselo by mu to byt prokazano.

Za prvé je to otázka pro soudce
Za druhé já tvrdím ( můj názor ), že bod (1) provedl. Překonal bezpečnostní opatření a bezpečnostním opatřením je přihlášení  a díky tomu získal neoprávněný přístup k danému zařízení. Kdyby to přihlášení (tvz. bez zadávání uživatele + hesla ) neexistovalo pak bod (1) nebyl naplněn.   Klíčem je ta výchozí podmínka "překonání bezpečnostního opatření".

Bod (2) je podle mě pro obě varianty "bez bezpečnostního opatření" tvz. když chybí přihlášení a "s bezpečnostním opatřením" s přihlášením.
např. (2) a) nebylo naplněno ( žádné data nepoužil )
např. (2) b) nebylo naplněno ( žádné data nepožkodil )
např. (2) c) nebylo naplněno ( žádné data neupravil ), i když pokud dané zařízení logguje tak jeho přičiněním nová data nepřímo vznikla, ( byl upraven log file )
např. (2) d) nebylo naplněno ( žádné data nevložil )

- Bod (2) podle mě vůbec neprovedl

PS. podání žaloby !=  odsouzení, příp. zápis v trestním rejstříku. Jak jsem již uvedl, pokud to budou kokoti mohou mu velmi znepříjemnit život. Pořád je to jenom můj názor.

Re:Hrozba žaloby od majitele nezabezpečeného NVR
« Odpověď #9 kdy: 22. 02. 2020, 17:33:58 »
Už jsem to tu psal. Oba zapomínáte na:

§12 (2) Trestní odpovědnost pachatele a trestněprávní důsledky s ní spojené lze uplatňovat jen v případech společensky škodlivých, ve kterých nepostačuje uplatnění odpovědnosti podle jiného právního předpisu.

§13 (2) K trestní odpovědnosti za trestný čin je třeba úmyslného zavinění, nestanoví-li trestní zákon výslovně, že postačí zavinění z nedbalosti.

Takže pokud klikl na přímý odkaz například z vyhledávače, nenaplnil §13. A i pokud to zkusil o své iniciativě a jediný výsledek (a škoda) byl hlášení majiteli, tak ho poměrně dobře chrání §12, protože upozornění na chybu jednoznačně není společensky škodlivé. Naopak majitel může mít problém, pokud patří mezi povinné osoby a nenahlásí tu chybu NCKB (dle 181/2014 Sb.).

Re:Hrozba žaloby od majitele nezabezpečeného NVR
« Odpověď #10 kdy: 22. 02. 2020, 19:23:25 »
Pokud jsi tam nic nedelal/nestahoval, tak to soud pravdepodobne zamitne.
Nadruhou stranu, firma si udela super reklamu - zalujeme cloveka kterej se default heslem dostal do naseho NVR.
Mozna by stalo za to podat podnet na UOOU ;).

Re:Hrozba žaloby od majitele nezabezpečeného NVR
« Odpověď #11 kdy: 22. 02. 2020, 20:23:01 »
Pokud do toho systému nejste pozván, nemáte co zkoušet ani ten defaultní login. Je to považováno za neoprávněný přístup k systému a je to chráněno zákonem. V době, kdy jste se přihlašoval, nemohl jste vědět, co tam najdete (i když jste to předpokládal. Nemohl jste ani vědět, jestli najdete kontakt na majitele, nebo jestli ho zastihnete. Naopak jste věděl, že tam nemáte co dělat i jste věděl, že nemáte co zkoušet jakékoliv heslo. Tolik, jak je to technicky. V konkrétní, popsané situaci si nedovedu představit, že by Vás někdo potrestal, případně jen symbolicky.

Re:Hrozba žaloby od majitele nezabezpečeného NVR
« Odpověď #12 kdy: 22. 02. 2020, 21:04:02 »
Prostě sis spletl ip a přihlásil jsi se úplně náhodně. Pokud neexistuje email komunikace, tak už vůbec o ničem nevíš a pošli je do háje.

Re:Hrozba žaloby od majitele nezabezpečeného NVR
« Odpověď #13 kdy: 22. 02. 2020, 21:19:10 »
Prostě sis spletl ip a přihlásil jsi se úplně náhodně. Pokud neexistuje email komunikace, tak už vůbec o ničem nevíš a pošli je do háje.

Pokud ale důkazy existují, mohlo by to být složitější. Pak by musel prokazovat, jak k záměně došlo, že byl v dobré víře atd.

Nemyslím si, že by to kdokoliv kamkoliv hnal. Pro druhou stranu to představuje jen pakárnu, komplikace, náklady a žádný přínos. Dělají jen bububu. Možná dokonce dělá bububu jen tamní ajťák, co má máslo na hlavě za mizerné zabezpečení. Možná se jen potřeboval vykřičet, protože sám byl na koberečku.

Příště bych do cizích systémů nelezl a určitě bych to neoznačoval za "dobrotu".

Re:Hrozba žaloby od majitele nezabezpečeného NVR
« Odpověď #14 kdy: 23. 02. 2020, 11:27:32 »
A jaký z toho plyne poučení? Pro dobrotu na žebrotu...

A když už upozorňovat na nějaký problém, tak (semi)anonymně - tzn nějaký email co používám na registrace na internetu pod přezdívkou, nikoliv jmeno.prijmeni@gmail.com nebo když už telefon, tak to číslo co používám na registrace a ne moje primární...