Американские власти не будут наказывать хакеров, которые ищут дыры в системах безопасности без злого умысла. Исследователи будут избавлены от федерального преследования, однако изменения не распространяются на частные компании и правоохранительные органы штатов. Минюст США внёс изменения в Закон о компьютерном мошенничестве и злоупотреблениях (CFAA), принятый ещё в 1986 году. Документ давал федеральным властям полномочия преследовать хакеров вне зависимости от мотивов их действий. Отныне закон указывает, что добросовестное исследование безопасности не должно наказываться. Под добросовестным исследованием понимается попытка получить доступ к системе исключительно в целях тестирования, исследования и/или исправления недостатка безопасности или уязвимости. Целью взлома не должно быть причинение вреда отдельным лицам или обществу; информация, полученная в результате взлома, должна использоваться в первую очередь для обеспечения безопасности. Закон уточняет, что поиск уязвимостей с целью вымогательства не может считаться добросовестным, даже если хакер характеризует его как исследование. Для определения добросовестности Минюст рекомендует прокурорам консультироваться с Отделом по компьютерным преступлениям и интеллектуальной собственности (CCIPS) Управления по уголовным делам. Изменения не коснутся частных компаний и правоохранительных органов штатов. Частным компаниям оставили право подавать на хакеров в суд, а правоохранительные органы смогут преследовать их в рамках законов штата. Нововведения избавляют добросовестных хакеров только от преследования на уровне федеральных властей, которое, впрочем, имело самые серьёзные последствия с точки зрения штрафов и тюремных сроков. Ещё одно изменение заключается в том, что компании отныне не смогут скрывать уязвимости, обнаруженные хакерами, как, например, компания Blackboard, которая в 2003 году добилась запрета на обсуждение уязвимостей в её системе, которые были выявлены двумя студентами. В прошлом году губернатор Миссури Майк Парсон пообещал подать в суд на исследователя безопасности Джоша Рено из газеты St. Louis Post-Dispatch, который обнаружил уязвимость на сайте департамента образования штата. Уязвимость позволяла посторонним узнать номера социального страхования ста тысяч учителей начальных и средних школ. Парсон обвинил Рено во взломе, однако позже власти отказались от преследования. «Уже больше десяти лет лидеры отрасли кибербезопасности признают важную роль хакеров как иммунной системы интернета. Мы приветствуем Министерство юстиции за закрепление того, что мы уже давно знаем: проверки безопасности без злого умысла — не преступление», — прокомментировал решение Минюста основатель HackerOne Алекс Райс. Как считает Эндрю Крокер, юрист Electronic Frontier Foundation, угроза наказания для хакеров оставила нераскрытыми множество уязвимостей. По его мнению, изменения закона не решает проблему полностью, так как у компаний и штатов остаются способы их преследования. Кроме того, он обратил внимание на размытость формулировок, которую тоже можно использовать против этичных хакеров.)