Qu'est-ce qui rend illégal l'utilisation des informations apprises en exploitant un bogue?

Selon nouvelles , des arrestations ont déjà été effectuées en relation avec le bug Heartbleed. Il semble que cette personne ait réussi à accéder à la base de données du site Web en capturant les informations d'identification que l'application a utilisées pour accéder à la base de données. Cette personne a alors apparemment utilisé ces informations d'identification pour accéder à la base de données.

Ma question est, quelle partie est illégale ici? Il a été accusé de "un chef d'utilisation non autorisée d'un ordinateur et un chef de méfait en relation avec les données." Donc, est-il illégal d'envoyer une demande de battement de coeur à un serveur sachant que la demande résultera dans la fuite de données? Si ces données ne contenaient que des bits aléatoires, seraient-elles toujours illégales ou doivent-elles contenir des données sensibles pour devenir illégales? Dites que des mots de passe ou d'autres informations de ce type étaient présents, est-il alors illégal de l'avoir fait? Ou devient-il illégal de prendre ensuite ces informations d'identification et de se connecter à une interface d'administration publique vers la base de données?

Ce qui me dérange, c'est où se situe la frontière entre le piratage illégal et la simple utilisation d'informations qui sont publiquement visibles? Si un site Web laisse ses informations d'identification de base de données sur sa page d'accueil avec un lien vers une interface phpMyAdmin vers cette base de données, est-il illégal de se connecter et de regarder autour de lui?

Au risque de poser des questions multiples et larges qui mèneront à la fermeture de cette question, y a-t-il des règles de base à respecter lorsque curieux fouillant pour voir comment quelque chose fonctionne franchit la ligne pour devenir illégal?