Er is iets dat is bugging me de hele dag.
Op woensdag, security-onderzoeker Justin Shafer bereikt een handvol van veiligheid verslaggevers, nadat hij vond dat de staat Nevada regering de website was het lekken van duizenden applicaties uit de medische marihuanaapotheek programma.
Shafer vond de lekkende web portal door met Google te zoeken op websites van de overheid voor woorden als “sociale zekerheid”, die iedereen kan het doen met relatief gemak. Hij vond die web adres, eindigend in een aantal, die wees naar een PDF-bestand dat afkomstig lijkt te zijn van een medische marihuanaapotheek toepassing. Het veranderen van het aantal in het web adres laat iedereen verschillende toepassingen.
De eerste meldingen kwamen binnen.
CSO Online: “Agent-toepassingen voor Nevada medische marihuana programma blootgesteld”The Daily Dot: “Medische marihuana portal bloot duizenden Social Security-nummers”ZDNet: “Nevada lekken van duizenden medische marihuanaapotheek toepassingen”
Zie de rode draad? Het lek werd Nevada ‘ s schuld. Geen systemen gehackt of geschonden.
Rond de tijd dat we gepubliceerd, de site had genomen naar beneden te “beperken van de kwetsbaarheid,” aldus woordvoerder Martha Framsted.
Framsted zei in een telefoongesprek woensdag dat het “bewust zijn van het lek” van de security-onderzoeker via meerdere verslaggevers, waaronder die van CSO Online en De Dagelijkse Dot, en zou los van een verklaring later in de dag.
In ons korte gesprek, Framsted gezegd dat de staat van HET personeel ging de website offline, om te voorkomen dat de gegevens van lekkende verder. Was er niet een hint van beschuldiging — duidelijk, dit was een systeem dat niet goed werkt.
Vervolgens zijn de koppen begon te draaien van “lek” en “blootgesteld”, “gehackt” en “geschonden” later op de dag.
Wat is er gebeurd? Nevada officiële verklaring omgekeerd zijn retoriek geheel en begon met het beschuldigen van de lek op een ‘ cyberaanval.” De verklaring zegt dat de industrie werknemer informatie werd “gestolen” toe te voegen dat het incident was geweest “bedoelde recht handhaving agentschappen voor verder onderzoek.”
Voer deze tweet.
In een follow-up e-mail, Framsted zou niet zeggen waarom de staat had schijnbaar veranderde zijn stem in de kwestie van een paar uur.
“Dit is een doorlopend onderzoek naar en als we meer details zullen wij deze details voor u beschikbaar zijn,” zei ze.
Niet alle meldingen van gegevens zijn hetzelfde. Een hack kan leiden tot een overtreding, maar een lek is niet een hack, noch een schending altijd leiden tot een lek.
Verwarrend — recht?
Het hacken van een computer is een illegale handeling, meestal door middel van niet-geautoriseerde toegang. Maar wanneer gegevens zittend op het internet in een onbeveiligde wijze, dat is een lek. De twee zijn niet vergelijkbaar, maar ONS computer hacking wetten zijn verouderd en vaag.
Die verwarring kan vaak leiden tot misplaatste schuld, en hoewel dat alleen al kan leiden tot ernstige gevolgen, maar het kan ook worden gebruikt om de pass the buck geheel.
Wanneer u een oproep naar een lek met een “hack” je bellen naar de persoon die de kwetsbaarheid van een “hacker.” Dat onmiddellijk tast wat is meestal een daad van goede voornemen — het melden van een bug, hetzij aan de betrokken partij of de media — met dat van een onrechtmatige daad.
Maar beter een goede man vinden van de fout dan een bad guy. En dit soort van antwoord van de staat Nevada is slechts één incident in een lijst van veel vormen een grotere vraag voor de onderzoekers van de veiligheid.
Shafer, en anderen die hebben geleid tot de zaken van de onzekerheid van hun eigenaar ogen, vaak geconfronteerd met verzet of juridische bedreigingen van de mensen die ze proberen te helpen.
Overigens, Shafer was beschuldigd van “hacking” voor, gewoon voor het informeren van een bedrijf, Eaglesoft, een leverancier van tandheelkundige praktijk management software, dat het uitlekken van vertrouwelijke patiëntgegevens door het op te slaan in een niet beveiligde FTP-map, beschikbaar voor iedereen met een internetverbinding te zien. Zijn huis werd overvallen door de FBI als gevolg. Maar, zoals te verwachten, geen aanklachten zijn ingediend over de zaak.
Het doet je afvragen waarom de onderzoekers van de veiligheid moeite.
Voor bug finders, het is hun plicht, verantwoordelijkheid, en vaak-zoals we hebben gezien in dit geval-ook een beroepsrisico. Maar elke keer is er pushback gevolg van goede bedoelingen, het gaat alleen nog om af te schrikken onderzoekers doen hun goede werken.
Dat laat open veld voor anderen van de criminele verscheidenheid te vinden van de gebreken in de plaats. En we weten allemaal dat het niet goed naar beneden.
ZDNET ONDERZOEKEN
Binnen de wereldwijde terreur watchlist dat in het geheim schaduwen miljoenen
Bij de AMERIKAANSE grens, en verwachten discriminatie, hechtenis, huiszoeking en verhoor
Een niet-beveiligde database bladeren off-the-grid energie klanten blootgesteld
Aan de schimmige tech makelaars dat levert de data voor de NSA
AMERIKAANSE regering geduwd tech bedrijven om de hand over de source code
Meer “mega inbreuken” te komen, als rivaal hackers vie voor de verkoop
Onthuld: Hoe een Amazon Kindle scam miljoenen dollars
Deze studenten waren achter BBC, Trump cyberaanvallen