Noll
Bild: James Hjorthorn
North Yorkshire Police sa idag att de inte bedriver ett brottmål mot den forskare som hittat en sårbarhet i en mobil-app som utvecklats av York city council.
Stadens tjänstemän hade rapporterat forskaren att polisen tidigare denna månad, men North Yorkshire-Polisen sa att “forskaren har agerat på rätt sätt.”
Förekomsten av denna polisanmälan mot den ännu-till-vara-namngivna forskare som uppdagades förra veckan när York myndigheter lämnas för dataintrång påverka “En Planet York”, en mobil-app som utvecklats av staden för att hjälpa till med schemaläggning för insamling av avfall mickar.
I ett e-postmeddelande skickas till den mobila app-användare, York tjänstemän sade att en “tredje part” hade nås och hämtade data från sin mobil app är backend via en sårbarhet i app API (application programming interface).
De sa att sårbarheten tillåtit en tredje part att samla information såsom namn, hemadress, postnummer, e-postadress, telefonnummer, och krypterade lösenord. Appen hade 5,994 användare, myndigheter sade.
Tjänstemän reagerade genom att avbryta En Planet York-app, tar ner ladda ner länkar från stadens webbplats, och ta bort appen från Play Store, och ge råd till användare för att ta bort den från sina telefoner.
“En tredje part, som vi tror var bakom avsiktlig obehörig åtkomst, delade på en liten, redigerat urval av den information de hade utvunnits,” sade stadens tjänstemän i en FAQ-sektion ingår med att anmäla överträdelser av e-post. “Deras e-post uppgav att de lämnat denna information för att göra oss medvetna om problemet och gör det möjligt för oss att ta itu med det.”
“Vi kan inte säkert säga hur den tredje parten som är ansvarig har gjort med data,” York tjänstemän lagt till. “De anmält oss om sårbarheten och har inte bett om något i gengäld, vilket tyder på att de är någon som ser för data sårbarheter i allmänhetens intresse.”
Ändå, trots att erkänna att den person som rapporterade problemet inte har något ont uppsåt, stadens tjänstemän rapporterade intrång i sina system till polisen.
Men York tjänstemän kom under tung kritik idag från IT-säkerhet gemenskapen efter förra veckans brott anmälan har återuppstått av framstående infosec expertkommentator Troy Hunt, Har jag Varit Pwned fame.
De flesta människor var upprörda över att stadens tjänstemän var inte nådig nog att tacka de forskare för deras arbete och god vilja, men i stället lämnat in en polisanmälan. Andra säkerhet forskare liknas vid händelsen för att få stansade i ansiktet efter att du återvänt till en förlorad plånbok till sin ägare.
Den goda nyheten är att North Yorkshire Polisen inte tar York Rådets rapport på allvar.
“Vi är medvetna om den York “dataintrång”, men vänligen vara säkra på att vi inte betraktar denna händelse som kriminella”, säger en North Yorkshire Police talesperson i dag. “Vi inser fördelarna av programvara sårbarhet utlämnande som en del av en hälsosam miljö och säkerhet forskaren har agerat på rätt sätt.”
Det är dock inte alla medlemmar av säkerhet samhället kritiserade York tjänstemän. Katie Moussouris, Grundare och VD för Luta Säkerhet föreslog att stadens tjänstemän som var mest benägna att göra sin due diligence i kölvattnet av en obehörig penetration test.
Säkerhet forskare är tänkt att be om tillstånd innan du utför störande sårbarhet tester. Alla professionellt organiserade bug bounty och sårbarhet avslöjande program förbjuda pen-testare från att ladda ner personligt identifierbar information (PII) (aka användardata) på sina datorer på grund av de juridiska komplikationer som uppstår från denna åtgärd. Det är dessa rättsliga komplikationer som York tjänstemän är mest sannolikt att navigera, Moussouris föreslås.
“Vi har begärt [tredje part] säkert ta bort alla spår av data från sina system,” stadens tjänstemän sade i FAQ-avdelningen ingår i strid meddelande via e-post –något indirekt bekräftar Moussouris’ teori.
En York Rådets officiella inte svara på en begäran om kommentar om denna artikel.
Dessutom York tjänstemän kritiserades också idag för att lämna in en polisanmälan men att inte anmäla den Information Commissioner ‘ s Office, STORBRITANNIENS integritet och dataintrång vakthund. Men i ett e-postmeddelande till ZDNet idag, ICO bekräftat att York tjänstemän hade rapporterat om händelsen, som nu är under utredning.
Relaterade täckning:
GCHQ: s senaste start plockar syftar till small business securitySTORBRITANNIEN kritisk infrastruktur fortfarande är i riskzonen från förödande cyber attack
71% av BRITTISKA företag som riskerar på grund av att data kunskapsbristerna, Vd säga TechRepublicTyskland föreslår router säkerhet riktlinjer
STORBRITANNIEN vakthund visar hur politiska partier utnyttja Facebook, personliga data CNETtyska eID-kort-systemet utsatta för online med falska identiteter
BRITTISKA regeringen inte tar handlingar Facebook ville hålla privat i Cambridge Analytica slaget
Relaterade Ämnen:
Regeringen – STORBRITANNIEN
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0