Guvernör i Missouri hotar en reporter som upptäckte att statlig webbplats sprider privat information

0
106

Missouri -guvernör Mike Parson hotar med rättsliga åtgärder mot en reporter och tidning som hittade och på ett ansvarsfullt sätt avslöjade en säkerhetsproblem som gjorde att lärares och utbildningsanställdas personnummer var utsatta och lättillgängliga.

St. Louis Post-Dispatch rapporterar att det meddelade Missouri Department of Elementary and Secondary Education (DESE) att ett av dess verktyg returnerar HTML-sidor som innehöll anställda SSN: er, vilket potentiellt kan utsätta informationen för över 100 000 anställda i fara. Trots att utloppet väntade tills verktyget togs ner av staten för att publicera sin historia, har reportern kallats en “hacker” av guvernör Parson, som säger att han kommer att få länsåklagaren och utredarna involverade.

Enligt Post-Dispatch var verktyget som innehöll sårbarheten utformat för att låta allmänheten se lärares meriter. Men enligt uppgift inkluderade den även den anställdes SSN på sidan som den returnerade-medan den tydligen inte syntes som synlig text på skärmen, rapporterar KrebsOnSecurity att det skulle vara lika enkelt att komma åt den som att högerklicka på sidan och klicka på Inspektera element eller Visa källa.

Att se anställdas SSN -nummer var enligt uppgift lika enkelt som att klicka på Visa källa

Medan reportern följde standardprotokoll för att avslöja och rapportera om sårbarheten, behandlar guvernören honom som om han attackerade webbplats eller försökte komma åt lärarens privata information för otäcka ändamål.

På en presskonferens beskrev guvernör Parson journalistens handlingar som “avkodning av HTML -källkoden”, vilket får det att verka misstänkt och hemligt. Han beskriver dock bokstavligen hur visning av en webbplats fungerar – det är serverns jobb att skicka en HTML -fil till din dator så att du kan se den, och allt som ingår i den filen är inte hemligt (även om det inte är fysiskt synligt på din skärm när du visar den webbsidan). Guvernör Parson säger att ingenting på DESE: s webbplats gav användare tillåtelse att komma åt SSN -data, men det gavs fritt.

Du kan se guvernörens fullständiga presskonferens nedan.

The Verge har nått ut till Missouri DESE för att klargöra om verktyget var offentligt tillgängligt eller krävde inloggning, och som svar säger DESE att dess enda kommentar (på grund av den pågående utredningen) är att data nu är skyddade. Naturligtvis är det tillgängligt överhuvudtaget en fråga, oavsett om det låg bakom en inloggning.

Guvernörens svar flyger inför standardpraxis

Missouris svar är, för att uttrycka det lätt, raka motsatsen till vanlig praxis. Många organisationer har bug- eller säkerhetspremier till ett värde av hundratusentals dollar, som de betalar till hackare som hittar och på ett ansvarsfullt sätt avslöjar brister som dessa. Anledningen till att dessa finns är att de kommer att göra dina system säkrare – ja, folk kommer att leta efter och hitta sårbarheter, men det var troligen redan någon som gjorde det. Med en bug bounty berättar de för dig så att du kan fixa det snarare än att sälja den informationen på den mörka webben eller använda den för personlig vinning. Uppenbarligen är den typen av summor inte rimliga för skoldistrikt, som ofta har underfinansierade IT -avdelningar på grund av krympande budgetar, men det finns många alternativ mellan att betala ut stora summor och hota med rättsliga åtgärder.

< p id = "X05RIj"> Guvernör Parson säger att händelsen kan kosta statens skattebetalare 50 miljoner dollar. Om en onda hackare hade hittat skattkammaren till SSN: er hade det troligen varit ännu dyrare: staten skulle fortfarande ha behövt fixa systemet och det skulle ha lärare som skulle ha starka anspråk mot det om de behövde identitetsskyddstjänster.

Du måste fortfarande korrigera sårbarheter även om du inte offentligt kallas efter dem

Guvernör Parson (tillsammans med ett pressmeddelande från administrationskontoret) förtydligar att SSN: erna endast var åtkomliga en i taget – en lista över alla anställdas privata information fanns inte med i HTML -filerna. Men som alla som har sett öppningsscenen för The Social Network vet kan det vara trivialt för hackare att ladda ner alla sidor från en applikation och ta bort specifik information från dem. Bara för att reportern inte gjorde det (det hade förmodligen varit oansvarigt om han hade gjort det) betyder det inte att det inte var möjligt och inte talar till goda säkerhetsmetoder.

Att åtala detta avslöjande kommer att människor i Missouri i fara

För att vara tydlig: åtal för reportern, nyhetsmedlet och alla inblandade kommer bara att tjäna människor i Missouri i fara eftersom ingen kommer att vilja rapportera säkerhetsbrister de har hittat i offentliga system om statens svar kommer att skicka brottsbekämpning efter dem. Säkerhetsbrister som detta är extremt olyckliga, men de kommer oundvikligen att hända (Post-Dispatch rapporterar att DESE visade sig ha lagrat student-SSN genom en granskning 2015). Med offentliga enheter och företag är det verkliga testet inte om det händer utan hur du reagerar på det. Tyvärr verkar det som om guvernör Parson misslyckas med det testet.

Uppdaterad 14 oktober, 17:52 ET: Uppdaterad för att återspegla kommentaren från DESE.