Missouri-Gouverneur Mike Parson droht mit rechtlichen Schritten gegen einen Reporter und eine Zeitung, die eine Sicherheitslücke gefunden und verantwortungsbewusst aufgedeckt haben, durch die die Sozialversicherungsnummern von Lehrern und Bildungspersonal offengelegt und leicht zugänglich sind.
Die St. Louis Post-Dispatch berichtet, dass sie das Missouri Department of Elementary and Secondary Education (DESE) informiert hat, dass eines ihrer Tools HTML-Seiten zurückgibt, die SSNs von Mitarbeitern enthalten, was möglicherweise die Informationen von über 100.000 Mitarbeitern gefährdet. Trotz der Tatsache, dass die Verkaufsstelle wartete, bis das Tool vom Staat entfernt wurde, um seine Geschichte zu veröffentlichen, wurde der Reporter von Gouverneur Parson als „Hacker“ bezeichnet, der sagt, dass er den Bezirksstaatsanwalt und die Ermittler einbeziehen wird.
Laut Post-Dispatch wurde das Tool, das die Schwachstelle enthielt, entwickelt, um der Öffentlichkeit die Zeugnisse der Lehrer anzuzeigen. Berichten zufolge wurde jedoch auch die SSN des Mitarbeiters in die zurückgegebene Seite aufgenommen – obwohl sie anscheinend nicht als sichtbarer Text auf dem Bildschirm angezeigt wurde, berichtet KrebsOnSecurity, dass der Zugriff darauf so einfach wäre wie ein Rechtsklick auf die Seite und ein Klick auf „Element prüfen“ oder Quelle anzeigen.
Das Anzeigen der SSNs eines Mitarbeiters war angeblich so einfach wie das Klicken auf Quelle anzeigen
Während der Berichterstatter die Standardprotokolle für die Offenlegung und Berichterstattung über die Sicherheitsanfälligkeit befolgte, behandelt der Gouverneur ihn so, als ob er die Website oder versuchte, auf die privaten Informationen des Lehrers für schändliche Zwecke zuzugreifen.
In einer Pressekonferenz beschrieb Gouverneur Parson die Aktionen des Reporters als „Entschlüsselung des HTML-Quellcodes“, was ihn verdächtig und heimlich erscheinen lässt. Er beschreibt jedoch buchstäblich, wie das Anzeigen einer Website funktioniert – es ist die Aufgabe des Servers, eine HTML-Datei an Ihren Computer zu senden, damit Sie sie anzeigen können, und alles, was in dieser Datei enthalten ist, ist nicht geheim (auch wenn es auf Ihrem physisch nicht sichtbar ist). Bildschirm beim Anzeigen dieser Webseite). Gouverneur Parson sagt, dass auf der Website von DESE den Benutzern keine Berechtigung zum Zugriff auf die SSN-Daten gewährt wurde, sondern diese kostenlos zur Verfügung gestellt wurden.
Sie können die vollständige Pressekonferenz des Gouverneurs unten ansehen.
The Verge hat sich an die DESE in Missouri gewandt, um zu klären, ob das Tool öffentlich zugänglich war oder eine Anmeldung erforderlich war. Natürlich ist es ein Problem, überhaupt zugänglich zu sein, unabhängig davon, ob es hinter einem Login steckt.
Die Antwort des Gouverneurs widerspricht der üblichen Praxis
Missouris Antwort ist, um es vorsichtig auszudrücken, das genaue Gegenteil der üblichen Praxis. Viele Unternehmen haben Bug- oder Sicherheitsprämien im Wert von Hunderttausenden von Dollar, die sie an Hacker zahlen, die solche Fehler finden und verantwortungsbewusst offenlegen. Der Grund dafür ist, dass sie Ihre Systeme sicherer machen – ja, die Leute werden nach Schwachstellen suchen und sie finden, aber wahrscheinlich hat das ohnehin schon jemand getan. Mit einem Bug-Bounty sagen sie es Ihnen, damit Sie es beheben können, anstatt diese Informationen im Dark Web zu verkaufen oder für Ihren persönlichen Vorteil zu verwenden. Natürlich sind solche Summen für Schulbezirke, die aufgrund knapperer Budgets oft unterfinanzierte IT-Abteilungen haben, nicht angemessen, aber es gibt viele Möglichkeiten zwischen der Auszahlung großer Geldsummen und der Androhung rechtlicher Schritte.
< p id="X05RIj">Gouverneur Parson sagt, dass der Vorfall die Steuerzahler des Staates 50 Millionen Dollar kosten könnte. Wenn ein böswilliger Hacker den Schatz an SSNs gefunden hätte, wäre es wahrscheinlich noch teurer gewesen: Der Staat hätte das System immer noch reparieren müssen und es hätte Lehrer, die bei Bedarf solide Ansprüche dagegen hätten Identitätsschutzdienste.
Sie müssen immer noch Schwachstellen patchen, auch wenn Sie nicht öffentlich darauf hingewiesen werden
Gouverneur Parson (zusammen mit einer Pressemitteilung des Office of Administration) stellt klar, dass die SSNs nur einzeln zugänglich waren – eine Liste aller privaten Informationen aller Mitarbeiter war nicht in den HTML-Dateien enthalten. Aber wie jeder, der die Eröffnungsszene von The Social Network gesehen hat, weiß, kann es für Hacker trivial sein, alle Seiten einer Anwendung herunterzuladen und bestimmte Informationen daraus zu entfernen. Nur weil der Reporter es nicht getan hat (es wäre wohl unverantwortlich gewesen, wenn er es getan hätte), heißt das nicht, dass es nicht möglich war und spricht nicht für gute Sicherheitspraktiken.
Diese Offenlegung wird strafrechtlich verfolgt Menschen in Missouri in Gefahr
Um es klar zu sagen: Die strafrechtliche Verfolgung des Reporters, der Nachrichtenagentur und aller Beteiligten wird nur dazu dienen, die Menschen in Missouri in Gefahr zu bringen, weil niemand die von ihm gefundenen Sicherheitslücken melden möchte in öffentlichen Systemen, wenn die Reaktion des Staates Strafverfolgungsbehörden nach ihnen schickt. Sicherheitslücken wie diese sind äußerst bedauerlich, aber sie werden unweigerlich auftreten (der Post-Dispatch berichtet, dass die DESE bei einer Prüfung im Jahr 2015 festgestellt wurde, dass die SSNs von Studenten gespeichert waren). Bei öffentlichen Einrichtungen und Unternehmen ist der eigentliche Test nicht, ob es passiert, sondern wie Sie darauf reagieren. Leider scheint es, als ob Gouverneur Parson diesen Test nicht besteht.
Aktualisiert am 14. Oktober, 17:52 Uhr ET: Aktualisiert, um den Kommentar der DESE widerzuspiegeln. p>