De gouverneur van Missouri, Mike Parson, krijgt kritiek van technologen en journalisten nadat hij een vernietigende, technologisch onnauwkeurige verklaring had afgegeven waarin hij een verslaggever dreigde te arresteren omdat hij ontdekte dat de burgerservicenummers van schoolleraren, bestuurders en raadgevers in heel Missouri kwetsbaar waren voor publieke bekendheid vanwege gebreken op een website die wordt onderhouden door het ministerie van basis- en secundair onderwijs van de staat.
St. Louis Post-Dispatch-verslaggever Josh Renaud schreef donderdag een verhaal waarin hij aangeeft dat de krant problemen ontdekte met een webtoepassing waarmee iedereen kon zoeken in een database met certificeringen en referenties van meer dan 100.000 leraren van de staat. Ook betalingsgegevens en burgerservicenummers waren kwetsbaar door het probleem.
De krant nam contact op met de afdeling en de pagina's werden verwijderd. Dit alles werd gedaan voordat het verhaal werd gepubliceerd om de staat de tijd te geven om de kwetsbaarheid te verhelpen. De krant stelde ook uit het verhaal te publiceren om andere overheidsinstanties in staat te stellen soortgelijke kwetsbaarheden in andere webapplicaties op te lossen.
Overheidsfunctionarissen zeiden dat ze aan het onderzoeken waren hoe lang de gegevens waren blootgesteld. Maar later op de dag hield Parson een persconferentie waar hij Renaud en de krant in elkaar sloeg en dreigde met juridische stappen voor hun besluit om de staat op de hoogte te stellen van de kwestie.
Vervolgens verdubbelde hij de bedreigingen in een Twitter-thread die wijdverbreide spot en verontwaardiging veroorzaakte van technologie-experts die zich afvroegen of de gouverneur en zijn team echt begrepen wat ze bespraken.
Parson beweerde dat “een persoon de records van ten minste drie opvoeders, decodeerde de HTML-broncode en bekeken de SSN van die specifieke opvoeders.”
Hij zei dat zijn kantoor de aanklager van Cole County en de Digital Forensic Unit van de Highway Patrol op de hoogte bracht en hen opdracht gaf te onderzoeken wat er is gebeurd.
“Na ontvangst van dit bericht nam DESE onmiddellijk contact op met het Missouri Office of Administration ITSD, dat de webapplicatie programmeert en onderhoudt, om de openbare toegang tot de portal te verwijderen en de code bij te werken. Deze zaak is ernstig”, schreef Parson.
“De staat verbindt zich ertoe om iedereen die ons systeem heeft gehackt en iedereen die hen heeft geholpen of aangemoedigd om dit te doen voor het gerecht te brengen – in overeenstemming met wat de wet van Missouri toestaat EN vereist. Een hacker is iemand die ongeoorloofde toegang tot informatie of inhoud. Deze persoon had geen toestemming om te doen wat ze deden. Ze hadden geen toestemming om de code te converteren en te decoderen.”
Parson zei verder dat Renaud een overtreding heeft begaan omdat het een misdaad is om “zonder toestemming persoonlijke informatie in te zien, mee te nemen en te onderzoeken”.
“Deze gegevens waren niet vrij beschikbaar en moesten worden omgezet en gedecodeerd. De staat vat deze zaak niet licht op en we werken aan het versterken van onze veiligheid om te voorkomen dat dit incident opnieuw gebeurt”, aldus Parson.
“De staat heeft zijn deel, en we pakken gebieden aan waarop we het beter moeten doen dan we eerder hebben gedaan. We zullen niet rusten voordat we de bedoelingen van deze persoon duidelijk begrijpen en waarom ze zich op leraren uit Missouri richtten.”
Andere lokale nieuwszenders merkten op dat Parson al lang een diepe haat heeft geuit tegen de grote nieuwszenders van de staat over hun berichtgeving over zijn aanpak van de COVID-19-crisis en zijn voorliefde voor het uitdelen van no-bid-contracten.
Zelfs leden van Parsons eigen partij bekritiseerden hem vanwege zijn uitspraken, waarbij de Republikeinse afgevaardigde Tony Lovasco op Twitter schreef dat het “duidelijk was dat het kantoor van de gouverneur een fundamenteel verkeerd begrip heeft van zowel webtechnologie als industriestandaardprocedures voor het melden van beveiligingsproblemen.
“Journalisten die op verantwoorde wijze alarm slaan over gegevensprivacy is geen crimineel hacken”, zei Lovasco.
De St. Louis Post-Dispatch verdedigde Renaud in een verklaring en zei dat hij er goed aan had gedaan zijn bevindingen naar DESE sturen voordat er misbruik van kan worden gemaakt.
“Het is ongegrond dat DESE zijn mislukkingen omzeilt door dit 'hacken' te noemen', zei de advocaat van de krant, Joseph Martineau, in een verklaring bij het verhaal van Renaud.
width=”0″ title=”gouverneur van Missouri geconfronteerd met terugslag en spot voor bedreigende verslaggever die ontmaskerde SSN's van leraren ontdekte” />
Gouverneur Parson
De verklaringen van de gouverneur werden grondig bekritiseerd door experts die merkte op dat wat Renaud deed zo simpel was als het indrukken van de F12-toets op bepaalde apparaten.
BreachQuest CTO Jake Williams vertelde ZDNet dat organisaties moeten oppassen dat ze niet op de boodschapper schieten wanneer beveiligingsproblemen worden onthuld.
“Dit is zeker geen hacken in de zin van het woord. Het lijkt erop dat de verslaggever een openbaar beschikbare webtoepassing heeft gebruikt die bedoeld is om het zoeken naar lerarencertificaten te vergemakkelijken. Toen de resultaten werden weergegeven, bekeek de verslaggever gewoon de broncode van de webpagina en de burgerservicenummers gevonden,” zei Williams.
“Terwijl gouverneur Parson zei dat de verslaggever 'de HTML-broncode had gedecodeerd', gebruikten ze in werkelijkheid gewoon de functie die in elke webbrowser was ingebouwd sinds het begin van internet. Omdat HTTP stateloos is, slaan veel webapplicaties hun status op in verborgen formuliervelden, zodat ze kan bij elk verzoek van de browser terug naar de server worden doorgegeven. Het lijkt waarschijnlijk dat deze verborgen formuliervelden het burgerservicenummer van de leraar bevatten. De vraag of dit een misdrijf was, zou misschien zwarter op wit zijn als de verslaggever had opgesomd alle records voordat u het probleem meldt.”
Williams merkte op dat zelfs Parsons vermelding van slechts drie opgenomen records elke kwaadwillende bedoeling lijkt tegen te spreken.
Hij voegde eraan toe dat in plaats van zich te concentreren op deze zogenaamde hacking, Parson zich zorgen zou moeten maken over de veiligheid van de applicaties van de staat, met name die welke beschikbaar zijn voor openbaar gebruik. Renaud's verhaal merkte op dat de staat eerder kritiek heeft gehad op zijn praktijken voor het verzamelen van gegevens.
“Het vinden van een fout als deze in 2021 zou eerlijk gezegd beschamend moeten zijn voor de staat. Het zou niet de eerste keer zijn dat een politicus op alle cilinders schiet en beweert dat toegang tot openbaar beschikbare informatie hacken was”, zei Williams.
“Het bedreigen van een verslaggever met juridische stappen is bijna altijd een slecht idee en creëert meestal een onbedoeld Streisand-effect.”
Technisch directeur Tim Wade van Vectra zei dat de situatie de noodzaak onderstreepte om de veiligheid te beschermen onderzoekers die actief zijn in het algemeen belang en de weerslag waarmee ze doorgaans worden geconfronteerd bij het ontdekken van kwetsbaarheden.
De verontwaardiging gericht tegen degenen die gegevensverlies en kwetsbaarheden ontdekken, moet worden omgeleid naar de hoofdoorzaken van waarom deze beveiligingsfouten blijven optreden ten koste van de individuele veiligheid, voegde Wade eraan toe.
Hij merkte op dat de meeste rechtbanken grenzen erkennen aan de bescherming tegen onwettig zoeken wanneer activiteiten duidelijk plaatsvinden in een openbare context en legde uit dat het moeilijk voor te stellen is dat de weinig technische verfijning van het beschreven gedrag, met een hulpmiddel dat zo gebruikelijk is als webbrowser is het allesbehalve het digitale equivalent van observaties in een openbare context.
John Bambenek, voornaamste dreigingsjager bij Netenrich, zei dat regeringsleiders mensen die hun regering op de hoogte stellen van problemen moeten bedanken, niet bedreigen.
“Gedurende de menselijke geschiedenis hebben keizers gereageerd op degenen die hen vertelden dat ze geen kleding droegen kleding door uit te halen in woede over de brutaliteit van degenen die zoiets zouden durven zeggen', zei Bambenek.
“Het leven zou beter zijn als ze, weet je, gewoon een broek aantrekken. Ik weet zeker dat elke echte criminele hacker op de planeet deze tirade heeft opgemerkt en je kunt er zeker van zijn dat ze hun targeting dienovereenkomstig aanpassen.”
Beveiliging
Als uw VPN een kwestie van leven of dood is, vertrouw dan niet op beoordelingen Ransomware-bendes klagen dat andere oplichters hun losgeld stelen Bandbreedte CEO bevestigt uitval veroorzaakt door DDoS-aanval Deze systemen worden geconfronteerd met miljarden aanvallen elke maand terwijl hackers wachtwoorden proberen te raden Een goedbetaalde baan in cybersecurity krijgen Cybersecurity 101: Bescherm uw privacy tegen hackers, spionnen, de overheid
Verwante onderwerpen:
Beveiliging CXO Innovatie Smart Cities 