Радиоинженер Раймондс Скурулс решил перерегистрировать свою машину на имя сына. Он успешно сделал это на сайте CSDD, но не закрыл веб-браузер. Через некоторое время он вернулся к компьютеру и обнаружил, что его профиль на сайте по-прежнему открыт и работает. Он убедился, что его не "выкидывает" из профиля ни через полчаса, ни через шесть часов. Фактически это позволяет несанкционированно передавать автомобиль от одного физического лица другому, регистрировать или снимать его с учета.
Скурулс позвонил на горячую линию CSDD и сообщил оператору, что обнаружил серьезную дыру в системе безопасности. Специалист CSDD позвонил через четыре дня. Все это время IT-департамент пытался найти дыру в системе.
Скурулс утверждает, что он предложил заключить договор о сотрудничестве, в рамках которого он поможет найти дыру в системе безопасности. Бывший член правления CSDD Янис Голубевс дал показания, согласно которым Скурулс согласился раскрыть информацию, если ему за это заплатят.
CSDD передал этот кейс компании WeAreDots, которая обеспечивала аудита безопасности электронных услуг дирекции. Скурулс утверждает, что в переписке с WeAreDots он предложил выплатить ему 1000 евро за обнаружение уязвимости. Кроме того, он хотел, чтобы в договор был включен пункт: если WeAreDots сочтет, что дыра не представляет опасности, то деньги можно не платить, но Скурулс в этом случае оставляет за собой право опубликовать всю информацию в СМИ.
7 ноября 2018 года WeAreDots заключила договор с компанией Скурулса Acoustic Power Lab OÜ. Этот договор был частью следственного эксперимента и позже стал доказательством в уголовном деле о вымогательстве.
Деньги Скурулс так и не получил. На следующий день он был задержан полицией. Ему было предъявлено обвинение в вымогательстве. Прокурор полагает, что Скурулс потребовал от CSDD вознаграждение в размере 1000 евро без законных оснований, угрожая в случае неуплаты раскрыть СМИ детали.
Суд признал Скурулса виновным и приговорил к штрафу в размере 5750 евро. Кроме того, он должен покрыть расходы СSDD на сумму 3459 евро. В июле 2024 года Латгальский окружной суд повторно рассмотрел дело и оставил приговор без изменений. Скурулс подал кассационную жалобу.
Представитель Ассоциации профессионалов безопасности Улдис Либиетис в разговоре с Ir заявил, что дыра, которую нашел Скурулс, относилась к уязвимостям высокого риска. "Любой человек мог исправить данные и о своем транспортном средстве, и о транспортных средствах других людей или сменить владельца транспортного средства. Исказить данные в государственной информационной системе и увидеть данные о других жителях Латвии", - говорит он.
Санита Витола из Cert.lv подчеркивает, что из этой ситуации всем нужно извлечь уроки. Как отмечает Витола, проблемой стало то, что Скурулс просил плату за обнаружение уязвимости, при этом до того, как раскрыть учреждению, в чем именно она заключалась. По ее словам, если учреждение само не проявило инициативу заплатить, человек не имеет права требовать оплату.