Il y a quelque chose qui m’énerve toute la journée.
Mercredi, le chercheur en sécurité Justin Shafer a atteint à une poignée de sécurité des journalistes après il a constaté que l’état du Nevada site internet du gouvernement a été la fuite de milliers d’applications, de la marijuana médicale dispensaire programme.
Shafer trouvé la fuite de portail web en utilisant Google pour rechercher les sites web du gouvernement pour des mots comme “de la sécurité sociale,” qui n’importe qui peut faire avec une relative facilité. Il a trouvé de la liste d’adresses web se terminant par un numéro, qui fait référence à un fichier PDF qui prétend être un dispensaire de marijuana médicale de l’application. Modifier le numéro dans l’adresse web laisser personne en vue de différentes applications.
Les premiers rapports d’origine.
CSO en Ligne: “applications de l’Agent pour le Nevada du programme de marijuana médicale exposée”The Daily Dot: “la marijuana Médicale portail expose des milliers de numéros de Sécurité Sociale”ZDNet: “Nevada fuites des milliers de marijuana médicale dispensaire applications”
Voir le dénominateur commun? La fuite a été Nevada faute. Pas de systèmes ont été piratés ou violées.
Autour du temps que nous avons publié, le site avait été pris vers le bas pour “limiter la vulnérabilité”, selon la porte-parole de Marthe Framsted.
Framsted a déclaré dans un appel téléphonique mercredi qu’il était “conscient de la fuite” de la le chercheur en sécurité à l’aide de plusieurs journalistes, y compris ceux de CSO en Ligne et Le Daily Dot, et serait un communiqué plus tard dans la journée.
Dans notre brève conversation, Framsted dit que l’état du personnel informatique a tiré le site web hors connexion pour empêcher que les données ne fuit plus. Il n’y avait pas un soupçon d’accusation — clairement, c’était un système qui ne fonctionnait pas correctement.
Ensuite, les journaux ont commencé à changer à partir de “fuite” et “exposé”, “piraté” et “violée” plus tard dans la journée.
Ce qui s’est passé? Nevada officiel de l’instruction a annulé sa rhétorique entièrement et a commencé à le blâmer, de la fuite de gaz sur une “cyberattaque.” La déclaration a également dit que l’employée de l’industrie de l’information a été “volé”, ajoutant que l’incident avait été “renvoyé aux autorités de police pour complément d’enquête.”
Entrer dans ce tweet.
Dans un e-mail de suivi, Framsted ne dirais pas pourquoi l’état n’avait apparemment changé son discours dans l’affaire de quelques heures.
“C’est une enquête en cours et que nous avons plus de détails, nous permettra de rendre ces informations disponibles pour vous,” dit-elle.
Pas toutes les divulgations de données sont les mêmes. Un hack peut mener à une rupture, mais une fuite n’est pas un hack, ni un manquement à toujours conduire à une fuite.
La confusion — droit?
Piratage d’un ordinateur est un acte illégal, généralement par le biais de l’accès non autorisé. Mais lorsque les données sont assis sur la internet sans protection, qui est une fuite. Les deux ne sont pas comparables, mais NOUS de piratage informatique lois sont obsolètes et trop vague.
Cette confusion peut souvent conduire à des égarés blâmer, et tout ce qui seul peut conduire à des conséquences graves, il peut également être utilisé pour renvoyer la balle entièrement.
Lorsque vous appelez une fuite d’un “hack”,” vous êtes à l’appel de la personne qui a trouvé la vulnérabilité d’un “hacker”. Immédiatement ternit ce qui est généralement un acte de bonne intention — un rapport de bug, soit à la personne concernée ou les médias-d’un acte illégal.
Mais mieux vaut un bon gars à trouver la faille qu’un mauvais gars. Et ce genre de réponse par l’état du Nevada est juste un incident dans une liste de plusieurs qui pose une grande question pour les chercheurs en sécurité.
Shafer, et d’autres qui ont apporté les questions de l’insécurité de leur propriétaire yeux, souvent confrontés à des réactions ou des menaces juridiques de même pour les personnes qu’ils essaient d’aider.
D’ailleurs, Shafer avait été accusé de “piratage” avant, tout simplement pour l’informer d’une société, Eaglesoft, un fournisseur de soins dentaires logiciel de gestion de cabinet, qu’il fuyait confidentielles les données des patients en les stockant dans un non garantis dossier FTP, disponible pour n’importe qui avec une connexion internet pour voir. Sa maison a été perquisitionnée par le FBI comme un résultat. Mais, sans surprise, aucune accusation n’a été déposée sur la question.
C’est à se demander pourquoi les chercheurs en sécurité même pas la peine.
Pour les découvreurs de bugs, il est de leur devoir, de la responsabilité, et souvent, comme nous l’avons vu dans le cas présent, aussi un danger en milieu de travail. Mais à chaque fois il y a un refoulement découlant de bonnes intentions, il ne va dissuader les chercheurs de faire leur bon travail.
Qui laisse le champ ouvert pour les autres de le crime pour trouver la faille à la place. Et nous savons tous que de ne pas aller bien.
ZDNET ENQUÊTES
À l’intérieur de la terreur mondiale de la liste de surveillance qui secrètement les ombres des millions
À la frontière des états-unis, s’attendre à de la discrimination, de détention, de recherche et d’interrogation
Un prêt non garanti de la base de données des feuilles de hors-la-grille énergétique clients exposés
Répondre à l’ombre tech courtiers qui offrent vos données à la NSA
Le gouvernement AMÉRICAIN a poussé entreprises de haute technologie à la main sur le code source
Plus de “mega infractions” à venir, comme le rival de pirates luttent pour la vente
Révélé: Comment un Kindle d’Amazon arnaque fait des millions de dollars
Ces étudiants étaient derrière la BBC, Trump cyberattaques