De Amerikaan Eric McCarthy staat voor de rechter omdat hij vorig jaar een beveiligingsprobleem meldde bij de Universiteit van South Caroloina, schrijft Wired. Volgens de universiteit heeft McCarthy bij het inbreken de federale computercriminaliteitswet overtreden.
Toen McCarthy vorig jaar rondneusde op de site van de Universiteit kwam hij terecht op een pagina voor aankomende studenten. Hij besloot een oude truc uit te proberen en voerde databasecommando’s in het inlogveld. Normaal zijn de nieuwe databases hier tegen beschermd, maar de database liet het toe. McCarthy kopieerde wat gegevens uit de database en meldde het probleem anoniem aan de nieuwssite SecurityFocus.com die er een artikel aan wijdde. De school liet het hier niet bij zitten. In de logfiles vonden ze (makkelijk) terug wie op de database had ingebroken. McCarthy werd daarop verhoord door de FBI. Hierna besloot het openbaar ministerie McCarthy aan te klagen voor het overtreden van 18 U.S.C. 1030, de federale computercriminaliteitswet.
Het is natuurlijk waar dat McCarthy illegaal bezig was en dat hij dat ook wel degelijk wist. Maar de truuk die hij uithaalde is al zo oud, waarschijnlijk 10 jaar geleden al voor het eerst toegepast, dat volgens mij het ontwikkelteam en testteam van deze website moet worden ontslagen.
De fout die McCarthy wel heeft gemaakt is het te melden aan een of andere nieuwssite en dat vind ik niet goed te praten. Als je een fout vindt op de website van een organisatie dan behoor je dat te melden aan die organisatie en dan hang je zoiets niet aan de grote klok. Want zodra je dit doet weet je dat er een heleboel ‘hackers’ zullen zijn die dit ook gaan uitproberen en die hebben misschien minder goede bedoelingen.
Mijn ervaring in Nederland is dat die organisatie je dankbaar is als je hen daar rechtstreeks van op de hoogte brengt, omdat je ze de kans geeft het ‘gat’ te dichten zonder dat ze gezichtsverlies lijden of gegevens op straat komen te liggen.