وزارت دادگستری ایالات متحده هکرهای کلاه سفید را تحت قانون CFAA تحت پیگرد قانونی قرار نخواهد داد

محققان امنیتی با حسن نیت دیگر نگران تحت تعقیب قرار گرفتن تحت قانون کلاهبرداری و سوء استفاده رایانه ای (CFAA)، وزارت دادگستری ایالات متحده نیستند. روز پنجشنبه گفت. آژانس فدرال گزارش جدیدی منتشر کرد یادداشت، که برای اولین بار روشن می کند که قانون 1986 نباید برای هدف قرار دادن هکرهای کلاه سفید استفاده شود.

معاون دادستان کل لیزا او. موناکو در بیانیه ای گفت: «دپارتمان هرگز علاقه ای به تعقیب تحقیقات امنیت کامپیوتری با حسن نیت به عنوان یک جرم نداشته است.» و اعلامیه امروز امنیت سایبری را با ارائه شفافیت برای محققان امنیتی با حسن نیت که ریشه کن می کنند، ارتقا می دهد. آسیب‌پذیری برای منافع عمومی».

CFAA دسترسی به رایانه بدون مجوز یا بیش از حد مجاز را ممنوع می کند. تفسیر آن سال‌ها محل مناقشه بوده است، به ویژه به این دلیل که برای محققین امنیتی با حسن نیت غیرمعمول نیست که دچار مشکلات قانونی شوند.

سال گذشته، مایک پارسون، فرماندار جمهوری خواه میسوری خواستار اتهامات جنایی علیه یک روزنامه نگار شد که وب سایتی پیدا کرد که شماره تامین اجتماعی معلمان را فاش کرده بود. در سال 2020، کارشناسان امنیتی شرکت Coalfire وضعیت خود را به اشتراک گذاشتند در دادگاه آیووا دستگیر شد در حین انجام آزمایشات از طرف دولت.

یادداشت جدید وزارت دادگستری توضیح می‌دهد که وقتی به «تحقیقات امنیتی با حسن نیت» اشاره می‌کند که تحت پیگرد قانونی قرار نمی‌گیرند چه معنایی دارد:

«تحقیق امنیتی با حسن نیت» به معنای دسترسی به رایانه صرفاً به منظور آزمایش حسن نیت، بررسی و/یا تصحیح نقص یا آسیب‌پذیری امنیتی است، در صورتی که چنین فعالیتی به گونه‌ای انجام شود که برای جلوگیری از آسیب به افراد یا افراد طراحی شده باشد. عموم مردم و جایی که اطلاعات به دست آمده از فعالیت عمدتاً برای ارتقای امنیت یا ایمنی دسته دستگاه‌ها، ماشین‌ها یا سرویس‌های آنلاینی که رایانه قابل دسترسی به آن‌ها تعلق دارد، یا کسانی که از چنین دستگاه‌ها، ماشین‌ها یا خدمات آنلاین استفاده می‌کنند، استفاده می‌شود. “

در این یادداشت همچنین آمده است که هرگونه “تحقیقی” که به قصد اخاذی انجام شود، حسن نیت محسوب نمی شود.

دیوان عالی سال گذشته دامنه CFAA را محدود کرد، زمانی که حکم داد یک افسر پلیس هنگام جستجوی بانک اطلاعاتی پلاک خودرو برای یکی از آشنایان در ازای دریافت پول نقد، قانون را نقض نکرده است. پرونده دادگاه برخی نگرانی‌ها را از بین برد که تفسیر گسترده CFAA می‌تواند بخش وسیعی از فعالیت‌های رایانه‌ای، از جمله نقض شرایط خدمات یک وب‌سایت را جرم انگاری کند – مانند اشتراک‌گذاری رمز عبور نتفلیکس.

سیاست جدید وزارت دادگستری به طور مشابه بیان می‌کند که آژانس مواردی از CFAA را که صرفاً با نقض شرایط خدمات سروکار دارند، پیگیری نخواهد کرد. مثال‌هایی مانند «تزیین نمایه دوستیابی آنلاین برخلاف شرایط خدمات وب‌سایت دوستیابی» یا «ایجاد حساب‌های خیالی در وب‌سایت‌های استخدام، مسکن یا اجاره» ارائه می‌کند.