Nul
Billede: James Hartshorn
North Yorkshire Politi sagde i dag, at de ikke forfølger en straffesag mod den forsker, der har fundet en sårbarhed i en mobil app, der er udviklet af York city council.
Byens embedsmænd havde rapporteret forsker til politiet tidligere i denne måned, men North Yorkshire Politiet sagde, at “forskeren har handlet korrekt.”
Eksistensen af denne politianmeldelse mod den endnu-til-være-navngivne forsker, der kom frem i sidste uge, da York myndigheder videregives til et sikkerhedsbrud, der berører “En Planet York”, en mobil app, der er udviklet af byen for at hjælpe med planlægning af indsamling af affald pickupper.
I en e-mail, der sendes til den mobile app ‘ s brugere, York embedsmænd sagde, en “tredje parti”, der havde adgang til og hentet data fra deres mobile app ‘s backend via en sårbarhed i app’ s API (application programming interface).
De sagde svaghed tillod tredjepart til at indsamle oplysninger såsom navne, privatadresser, postnumre, e-mail adresser, telefon-numre, og krypterede adgangskoder. App ‘ en havde 5,994 brugere, kommunale myndigheder sagde.
Embedsmænd har reageret ved ikke at videreføre En Planet York app, der tager ned for at hente links fra byens hjemmeside, fjernelse af en app fra Play Butik, og rådgive brugerne til at fjerne det fra deres telefoner.
“En tredjemand, som vi mener, stod bag den bevidste uautoriseret adgang, delt en lille, redigeret udsnit af de oplysninger, de havde udvundet,” sagde byens embedsmænd i en FAQ sektion, der følger med anmeldelse af brud på e-mail. “Deres e-mail udtalt, at de er fastsat disse oplysninger til at gøre os opmærksom på problemet og gør os i stand til at løse det.”
“Vi kan ikke sige med sikkerhed, hvad den tredje part, der er ansvarlig har gjort med de data,” York embedsmænd tilføjet. “De meddelt os af den svaghed, og har ikke bedt om noget til gengæld, som tyder på, at de er en person, der ser ud til data sårbarheder i offentlighedens interesse.”
Ikke desto mindre, på trods af at indrømme, at den person, der rapporterede problem ikke har nogen ond hensigt, byens embedsmænd rapporterede indtrængen i sine systemer til politiet.
Men York embedsmænd, der kom under skarp kritik i dag fra IT-sikkerhed fællesskab efter at sidste uges brud anmeldelse var genopstået fra fremtrædende infosec orakel Troy Jagt, Har jeg Været Pwned berømmelse.
De fleste mennesker blev forarget over, at byens embedsmænd var ikke nådig nok til at takke forsker for deres arbejde og god vilje, men i stedet indgivet en politianmeldelse. Andre sikkerhedseksperter sammenlignes hændelsen for at blive slået i ansigtet efter at være vendt tilbage til en tabt wallet til sin ejer.
Den gode nyhed er, at North Yorkshire Police er ikke at tage York Rådets rapport alvorligt.
“Vi er opmærksomme på York ‘bruddet’, men vær forsikret om, at vi ikke betragte denne hændelse som en forbrydelse,” sagde en North Yorkshire Politi-talsmand i dag. “Vi anerkender de fordele, som sårbarhed og fremlæggelse som en del af en sund sikkerhed, miljø og forsker har handlet korrekt.”
Det er dog ikke alle medlemmer af sikkerhedsbranchen kritiseret York embedsmænd. Katie Moussouris, Grundlægger og CEO af Luta Sikkerhed, foreslog, at byens embedsmænd var mest sandsynligt, at gøre deres due diligence i kølvandet på en uautoriseret penetration test.
Sikkerhed forskere skal bede om tilladelse, før du udfører påtrængende sårbarhed test. Alle professionelt organiseret bug bounty og sårbarhed offentliggørelse programmer forbyde pen-testere fra at downloade personligt identificerbare oplysninger (PII) (aka bruger-data) på deres personlige computere, på grund af de juridiske komplikationer, der opstår fra denne handling. Det er disse juridiske komplikationer, der York tjenestemænd, der er mest sandsynligt at navigere, Moussouris foreslået.
“Vi har anmodet om [den tredje part] sikkert slette alle spor af data fra deres systemer,” byens embedsmænd sagde, i afsnittet ofte stillede spørgsmål indgår i anmeldelse af brud på e-mail-mere eller mindre indirekte bekræfter Moussouris’ teori.
Et York Rådets officielle gjorde ikke imødekomme en anmodning om kommentar til denne artikel.
Desuden York embedsmænd, blev også kritiseret i dag for at indgive en politianmeldelse, men ikke at anmelde den Information Commissioner ‘s Office, UK’ s personoplysninger og privatlivets fred, overtrædelse vagthund. Men i en e-mail til ZDNet i dag, ICO bekræftet, at York embedsmænd, der havde rapporteret hændelsen, som nu er under efterforskning.
Relaterede dækning:
GCHQ ‘ s seneste start picks sigte på small business securityUK kritisk infrastruktur, der stadig risiko for ødelæggende cyberangreb
71% af de BRITISKE virksomheder i fare på grund af data, manglende færdigheder, Direktører sige, TechRepublicTyskland foreslår router sikkerhed retningslinjer
UK vagthund viser, hvordan de politiske partier udnytte Facebook, personlige data CNETtyske eID-kort system sårbart over for online identitet spoofing
BRITISKE rege ikke griber dokumenter Facebook ønskede at holde private i Cambridge Analytica kamp
Relaterede Emner:
Regeringen i UK
Sikkerhed-TV
Data Management
CXO
Datacentre
0