В каких случаях действует УК при взломе сайтов?

Question

[StynuBlizz]

Суть такова: допустим, я найду SQL-инъекцию (либо другую важную уязвимость) на сайте (интернет-магазин), и хочу на этом заработать, т. е. сообщить сайту об уязвимости за вознаграждение. Действуют ли в данном случае какие-либо уголовные статьи?

P.S. С магазином заранее на поиск уязвимости не договариваюсь и уязвимость в своих целях использовать не собираюсь, т.е. просто нашел — сообщил.

P.P.S Решил заранее проконсультироваться у знающих, чем попасть на что-нибудь вроде "кибервымогательство".

Answer 1

[АртемЪ]

В каких случаях действует УК, при взломе сайтов?

В таких, а так же возможно и в таких и таких.

хочу на этом заработать т.е сообщить сайту об уязвимости взамен за вознаграждения

Тут следует четко понимать несколько моментов.

• Рассчитывать на вознаграждение можно только если есть предварительная договоренность с владельцем ресурса о поиске уязвимостей.
  
• Если вы нашли уязвимость сами, владелец ресурса вполне может вам заплатить если сочтет это необходимым, или просто поблагодарить, или проигнорировать, или подать в суд, и принять другие меры против вас.
  
• Владелец ресурса ни в коем случае не обязан как-то реагировать на ваши сообщения о найденной уязвимости, и тем более их устранять.
  

Comments

[StynuBlizz]

В общем лучше пойду на hackerone)

Answer 2

[NSA-bot]

К уголовный ответственности привлеч Вас в данном конкретном случае вряд ли возможно (исключаем продажность и некомпетентность правосудия), так как для присутствия в деянии состава преступления, у Вас должен быть преступный умысел (нанести ущерб), а у Вас его нет, и даже наоборот.

Comments

[АртемЪ]

Преступный умысел совсем не обязателен.
Достаточно факта неправомерного доступа, и факта причинения ущерба.

1. Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации,

-

[NSA-bot]

АртемЪ, согласен, но тут ущерба не будет по идее. По крайней мере из того, что хочет делать топикстартер.

[Дмитрий]

NSA-bot, ущерб кто оценивать будет? Ущерб может быть репутационный, моральный. А также если были намеренные воздействия на информационную систему, вызывающие повышенную нагрузку до отказа в обслуживании легитимных клиентов - ещё и упущенную выгоду. Раскрутить можно как угодно глубоко. Лучше не заниматься ерундой, а работать с чётко определёнными программами bug-bounty

Answer 3

[Владимир Дубровин]

"Суть такова: предположим я найду легко взламываемый сейф в банке и захочу на этом заработать, с банком не договаривался".

Да, статья есть, про поиск уязвимостей без разрешения - статья 272 УК РФ, про "договориться" - статья 163 УК РФ. Хотите заработать на уязвимостях - идите на hackerone.com, bugcrowd.com или в корпоративные программы, в них всегда описано на каких условиях можно искать уязвимости и кто и сколько за это платит.

Comments

[StynuBlizz]

А как здесь 163, если я ни чем не угражал.

Вымогательство, то есть требование передачи чужого имущества или права на имущество или совершения других действий имущественного характера под угрозой применения насилия либо уничтожения или повреждения чужого имущества, а равно под угрозой распространения сведений, позорящих потерпевшего или его близких, либо иных сведений, которые могут причинить существенный вред правам или законным интересам потерпевшего или его близких

Источник: ukodeksrf.ru/ch-2/rzd-8/gl-21/st-163-uk-rf

[Владимир Дубровин]

StynuBlizz, ну а за что владелец сайта будет вам платить?

[StynuBlizz]

Владимир Дубровин, Платит говорю что за уязвимость, не платит ничего с моей стороны не происходит

[АртемЪ]

StynuBlizz, А смысл платить? Вот подумайте сами - есть крупный ресурс, работа кипит, все прекрасно работает, никаких проблем.
И тут звонит никому не известный Вася, сообщает что есть какая-то уязвимость, и обещает сказать что за уязвимость после оплаты.

Никто не знает что это за уязвимость, насколько она важна и критична - да никому и в голову не придет заплатить на таких условиях.

[StynuBlizz]

АртемЪ, Ну либо сообщить об уязвимости (по предварительной договоренности об поиске уязвимости), и рассчитывая на порядочность владельца, ждать денег

[АртемЪ]

StynuBlizz, Ну сообщить можно.
Только вот непонятна фраза насчет порядочности владельца.
Создается впечатление что порядочный должен заплатить, а непорядочный не должен.

Если была договоренность о поиске - нашли, предоставили, требуете денег в рамках договоренности.
Если не было договоренности - нашли, предоставили, забыли. Может владельцу попросту наплевать на эту уязвимость, или нет времени и желания этим заниматься, как правило у владельцев есть куча более важных дел.

[StynuBlizz]

АртемЪ, Ну я для этого в скобках и написал "по предварительной договоренности", думаю понятно что договоренность включает оплату, поэтому и говорю про порядочность. Ну а требовать я ничего не могу, договоренность то юридически не оформлена, просто на словах

[Владимир Дубровин]

StynuBlizz, если у вас есть предварительная договоренность - вы можете действовать в рамках предварительной договоренности сколько угодно, законодательство это не запрещает. Только лучше эту "предварительную договоренность" оформлять как договор.

Если у вас нет предварительной договоренности и вы ищете уязвимости на сайте - это уже может быть расценено как несанционированный доступ(статья 272).

Если вы нашли уязвимость без договоренности и сообщаете о ней владельцу сайта - последствия могут быть самые разные - вам могу заплатить, а могут затаскать по судам, были прецеденты. Обычно в таких случаях пишут что-нибудь типа "случайно обнаружил". По опыту, платят в таких случаях крайне редко.

Если вы нашли такую уязвимость без договоренности и предлагаете владельцу сайта заплатить за нее деньги - это статья 163.

Answer 4

[Пума Тайланд]

А какая вам нахрен разница, если вы все равно желаете все анонимно и вас никак не найти.

Comments

[StynuBlizz]

А с какого хера (общаясь вашим языком) вы такую ересь высосали?

[Пума Тайланд]

StynuBlizz, это элементарная безопасность же, хакером вам точно не стать видимо

[StynuBlizz]

Пума Тайланд, Хакеру который ламает в рамках закона не нужно скрываться

[Пума Тайланд]

StynuBlizz, ну не бывает такого как вы описали в рамках закона
Это как людям ноги ломать но в рамках закона

[StynuBlizz]

Пума Тайланд, Ну ебнврт, я поэтому и спрашивал чтобы понять законно это или нет