美国司法部周四宣布,不会根据联邦黑客法对善意行事的安全研究人员和黑客提出指控。
根据《计算机欺诈和滥用法》,该政策首次“指示不应指控善意的安全研究”,与之前允许检察官对发现计算机安全漏洞的黑客提起联邦指控的政策大相径庭。帮助保护暴露或易受攻击的系统的目的。
司法部表示,善意的研究人员是那些“以旨在避免对个人或公众造成任何伤害的方式”开展活动的人,并且这些信息“主要用于促进此类设备的安全性或安全性”被访问的计算机所属的、机器或在线服务,或使用此类设备、机器或在线服务的人。”
计算机欺诈和滥用法案 (CFAA) 于 1986 年颁布,早于现代互联网。联邦法律规定了联邦一级的计算机黑客行为——特别是对计算机系统的“未经授权”访问。但长期以来,CFAA 一直因其过时且含糊的语言而受到批评,几乎无法区分善意的研究人员和黑客,以及开始勒索公司或个人或以其他方式造成伤害的恶意行为者。
去年,最高法院在该法生效后首次审查了CFAA ,首次准确确定了CFAA对“未经授权”访问的解读在法律下的含义,并随后限制了其范围,有效地消除了整个一类假设的场景——比如违反网络服务的隐私政策,从工作计算机上检查体育比赛结果,以及最近抓取公共网页——联邦检察官可能会根据这些情况提出指控。
现在司法部正在排除,尽管距离法院的裁决已有一年,对这些情况提出联邦指控,而是专注于恶意行为者故意闯入计算机系统的案件。
政策转变不是立法解决方案,就像司法部今天所做的那样,未来可能会发生变化。它也不保护善意的黑客——或任何其他被指控黑客行为的人——免受国家计算机黑客法的侵害。
美国副司法部长 Lisa O. Monaco 在一份声明中说:“该部门从未有兴趣将善意的计算机安全研究视为犯罪,而今天的公告通过为根除善意的安全研究人员提供清晰的信息来促进网络安全。共同利益的弱点。”
在 Aaron Swartz 因从学术订阅服务 JSTOR 下载 480 万篇文章和文件而被 CFAA 指控后,他于 2013 年自杀身亡,一些批评者可能不会如此愿意接受这一说法。尽管 JSTOR 拒绝追究此案,但联邦检察官仍提出指控,指控他盗窃。
自 Swartz 去世以来,活动家和立法者都在推动“亚伦法”,以改革和编纂对 CFAA 法律的修改,以更好地保护善意的黑客。
原文: https://techcrunch.com/2022/05/19/justice-department-good-fatih-hackers-cfaa/