Eu tbm achava, mas não é. Me explicaram no X qnd achei uma vuln em um app de condomínio, q iriam instalar aqui no prédio. Achei uma brecha com blind sqli q retornava dados sensíveis de usuários. @sushicomabacate.com kd o povo das leis digitais pra explicar melhor?!
Simmm No Twitter falamos várias vezes sobre isso Não sei se o @senzi.adv.br está ativo aq Mas vcs estão ambos certos Pra ser crime tem que ter o "fim de obter, Bla-bla-bla" O problema é vc ter que ir explicar o seu "fim" no tribunal e o resultado final variar com a interpretação do juiz 🤣
ou seja, na dúvida, não faça pentest sem consentimento. Melhor prevenir do que ficar lidando com tribunal.
Achar a vulnerabilidade em si, ok. Na hora q vc puxa os dados, mesmo que para apenas demonstrar, sim, está enquadrado.