התחרות שהפכה לסופרמה
במרץ 2023, התקיימה תחרות Capture The Flag (CTF), שבה מתמודדים מנסים לפתור תעלומות אבטחת מידע ואירועי סייבר בזמן מוגבל. במהלך התחרות, עובד באפל גילה באג בעייתי בדפדפן Chrome של גוגל. הבאג הוא ב-SwiftShader, תוכנת הרינדור בתלת מימד שמוטמעת בדפדפן מאז 2012. הבאג איפשר הרצה וקריאה של קוד בתהליך ה-GPU.
אך במקום לדווח על הבאג לגוגל, כפי שהיינו מצפים, העובד באפל בחר לשמור את המידע לעצמו. זה נחשף רק כאשר מתמודד אחר בתחרות, שלא גילה את הבאג בעצמו, החליט לדווח עליו לגוגל.
התגובה של גוגל
גוגל, כמובן, לא הייתה מרוצה מהמצב. החברה טוענת שהעובד באפל התנהל באופן לא מקצועי כאשר החליט לא לדווח על הבאג. על פי עובד בגוגל, העובד באפל גילה את הבאג במהלך התחרות CTF, אך בחר לא לדווח עליו בערוצים המקובלים.
העובד באפל, מצדו, טוען שהוא דיווח על הבאג ב-5 ביוני, שניים חודשים לאחר התחרות, וכי הוא לא חשב שהדיווח הוא דחוף. עם זאת, גוגל תיקנה את הבאג כבר ב-29 במרץ, כמה ימים לאחר התחרות.
הפרצה שהפכה לסופרמה
הסיפור הזה מעלה שאלות חשובות על אתיקה בעולם הסייבר. האם עובד בחברה אחת צריך לדווח על באג שהוא מצא במוצר של חברת התחרות? האם יש חובה מוסרית לדווח על כל באג שנמצא, או שיש מקום לשיקול דעת אישי?
במקרה הזה, נראה שהעובד באפל החליט שהבאג אינו דחוף ולכן לא דיווח עליו מיד. אך האם זה היה ההחלטה הנכונה? האם הוא צריך היה לדווח על הבאג מיד, למרות שהוא לא חשב שהוא דחוף?
השלכות ומחשבות למחר
הסיפור הזה מצייר תמונה מורכבת של האתיקה בעולם הסייבר. מצד אחד, ישנה החובה להגן על משתמשים מפרצות אבטחה ולדווח על באגים שנמצאים. מצד שני, ישנה החופש לבחור איך להתמודד עם מידע שנמצא, במיוחד כאשר המידע הזה מגיע ממוצר של חברת התחרות.
המקרה הזה מציג גם את המתח שבין החובה להגן על משתמשים והחופש לבחור איך להתמודד עם מידע שנמצא. האם ישנה חובה מוסרית לדווח על כל באג שנמצא, או שיש מקום לשיקול דעת אישי? ואם כן, איפה מתחילה ואיפה מסתיימת החובה המוסרית הזו?
השאלות האלה אינן פשוטות, ואין להן תשובות חד-משמעיות. אך מה שברור הוא שהן שאלות שנדרשות לדיון בעולם הסייבר של היום. כי בסופו של דבר, האבטחה של משתמשים ברשת היא משימה של כולנו.
