Executando verificação de segurança...
2

Eu gostei do artigo. Se me permite perguntar, a qual crime se refere quando diz: "Lembrando que testar aplicaçõe sem a devida permissão é crime" ?
Lendo este artigo da UFL, encontra se o seguinte paragrafo:

Deste modo, quem encontra vulnerabilidade em sistema alheio, mesmo sem autorização para pesquisa, e comunica o administrador, está realizando a “revelação responsável”, não podendo incidir nas penas o art. 154-A, agora previsto no Código Penal. Já a prova de conceito, desenvolvida por quem descobre falha em ativo, sem autorização do titular, dependerá da apreciação pericial para se verificar como afetava o dispositivo atingido e qual foi a extensão decorrente da PoC.

A questão seria a qual finalidade faz se o teste, o que abre diversas interpretações, é meio complexo ainda tipificar crimes ciberneticos, há muitas brexas. Te convido a lê-lo e também ler a lei 12.737, a qual eles referenciam no artigo.

Carregando publicação patrocinada...
2
1

Exatamente, é brincar com o perigo. Se você ainda pedir uma "recompensa" pro dono da aplicação eu acho que da mais problema ainda. No melhor dos cenários você vai ter que gastar com advogado pra não pegar alguma punição mais pesada.

1

Cada caso é um caso, se tu estiver sem medo e com resguardo tu entra de cabeça no processo e esperam provar que o que tu fez foi de fato com intenção maliciosa. Eu concordo que é brincar com a sorte mas, devemos tomar cuidado de afirmar as coisas, sendo que não temos total certeza, como é o caso do "ser crime ou não".

3

Exatamente e você tem razão, nos próximos irei colocar de forma diferente. Mas deixo aqui um caso que reflete bem meu ponto e confirma o seu. Mas é exatamente como você disse, tem que ter coragem e paciência. Aqui o vídeo.

2

Primeiramente muito obrigado pelo seu comentário.

É justamente essa Lei 12.737 que eu tinha conhecimento. Hoje em dia eu faço curso e estudo com conteúdo estrangeiro, eles não citam alguma lei específica mas eles sempre rezam a mesma missa "Não faça pentest em uma aplicação que você não tem autorização, é crime, anti ético..." e por aí vai.

Mas nesse mesmo artigo da UFL que você citou tem as seguintes citações:

A questão da finalidade de “obter dados” é também polêmica. Para um grupo de juristas, a “espiada” não seria crime, só se falando em obtenção nos casos de cópia dos dados do dispositivo, ou quando o agente entra na “posse dos dados”. Para outra corrente, o simples acesso a dados (um select na tabela da vítima, por exemplo) já agride o bem jurídico protegido pelo Direito Penal, e demonstra a “intenção em obter dados” eis que já permite ao cracker, em certos casos, se beneficiar das informações, de modo que tal “contato” com os dados estaria inserido no contexto do “obter dados”, previsto no tipo penal.

O que eu acho que realmente é um problema aqui é essa questão do "obter". Imagina só, você vai lá e acha a falha no site de uma empresa, reporta e o cara fica bravo e te ameaça de processo. E pior, fica a mercê da interpretação alheia.

Eu realmente acho que avisar e combinar um serviço de pentest seja a melhor escolha, além de você lucrar com isso você também tem meios melhores de se defender como contratos e definir o escopo do pentest. Para praticar tem vários laborátorios iguais esses que citei, plataforma de bug bounty, então realmente acho que fazer um pentest ou até um serviço de OSINT sem consentimento é arriscado.