USAs høyesterett har avgjort at en politibetjent som innhentet informasjon fra en lisensdatabase for en sivil, i bytte mot penger, ikke brøt føderal lov om hacking.
Dommen klargjør omfanget av lov om datamisbruk og misbruk av 1986 (CFAA) og hva slags oppførsel som kan tiltale. CFAA ble lov etter at den amerikanske regjeringen fant nettbrudd og hacking ikke ble adressert tilstrekkelig av lovgivning på den tiden.
Saken oppstod etter at Federal Bureau of Investigation fanget den tidligere politimannen i Georgia, Nathan Van Buren, ved å bruke sin datamaskin for patruljebiler for å få tilgang til en rettshåndhevelsesdatabase for å hente informasjon om et bestemt registreringsnummer i bytte for penger. Da han søkte, brukte Van Buren sin egen, gyldige legitimasjon.
Etter at Van Buren først ble tiltalt, dømte en amerikansk tingrett ham for to anklager: Brudd på politidepartementets politikk for å innhente databaseinformasjon for et personlig formål og krenke CFAA ved å bruke et datanettverk på en måte som er i strid med jobben hans.
Van Buren anket imidlertid anklagene, som til slutt førte saken til USAs høyesterett og dom.
Ved høyesterett avgjorde dommerne 6-3 til fordel for Van Buren da han hadde tilgang til databasen som en del av hans gyldige legitimasjon.
Ved avgjørelsen innrammet dommerne dom om hvorvidt Van Buren “overskred sin autoriserte tilgang” når de fikk tilgang til lisensplatedatabasen.
“I databehandlingssammenheng refererer” tilgang “til det å gå inn i et datamaskinsystem” eller “en bestemt” del av et datasystem, “som filer, mapper eller databaser,” sa Justice Amy Coney Barrett, som skrev flertallsoppfatning.
“Det er således i samsvar med den betydningen å likestille” overgå autorisert tilgang “med handlingen om å gå inn i en del av systemet som en datamaskinbruker mangler tilgangsrettigheter til.”
De tre dommerne som var uenige mot avgjørelsen, dommerne Clarence Thomas, Samuel Alito og John Roberts, mente at Van Buren brøt hackelovene da han fikk forbud mot å bruke datamaskinen for å skaffe lisensinformasjonen.
“Van Burens oppførsel var bare lovlig hvis han hadde rett til å innhente den spesifikke lisensinformasjonen ved å bruke sin tillatt autoriserte tilgang til databasen. Det var han ikke. En person har bare rett til å gjøre noe hvis han har en 'rett' til å gjøre det, “skrev Thomas i sin avvikende mening.
Ved dissens analyserte Thomas Van Burens oppførsel til en ansatt som trakk alarm av en selvmotivert grunn eller en betjent som fikk tilgang til en skytsbil og deretter fortsatte å gå på en joyride.
“En ansatt som har rett til å utløse alarmen i tilfelle brann, har ikke rett til å trekke den for noe annet formål, for eksempel å forsinke et møte som han ikke er forberedt på,” skrev Thomas.
Med dommen er CFAA-siktelsen mot Van Buren henlagt, mens siktelsen for brudd på avdelingspolitikken forblir intakt.
Relatert dekning
Amazon utvider forbudet mot politiet ved hjelp av Rekognition ansiktsgjenkjenningsteknologi, ingen slutt i sikte Emotet botnet høstet 4,3 millioner e-postadresser. Nå bruker FBI Have I Been Pwned for å varsle ofrene
Colonial Pipeline attack: Alt du trenger å vite
FBI utsteder advarsel om Fortinet-sårbarheter etter hacking av APT-gruppen
FBI tillegger JBS-løsepengeangrep til REvil
FBI etterretningsanalytiker tiltalt for tyveri av cybersikkerhet, terrorbekjempelsesdokumenter
Relaterte emner:
Legal Security TV Data Management CXO Data Centers 