Guvernör i Missouri står inför motreaktion och förlöjligande för att ha hotat reporter som upptäckte avslöjade lärare SSN: er

0
93

 Jonathan Greig

Av Jonathan Greig | 14 oktober 2021 | Ämne: Regering: USA

Missouri -guvernör Mike Parson utsätts för kritik från teknologer och journalister efter att han utfärdat ett vittgående, tekniskt felaktigt uttalande som hotar att arrestera en reporter för att ha upptäckt att socialförsäkringsnumren för lärare, administratörer och rådgivare i Missouri var utsatta för allmän exponering på grund av brister på en webbplats som underhålls av statens avdelning för grund- och gymnasial utbildning.

St. Louis Post-Dispatch-reporter Josh Renaud skrev en historia på torsdagen som tyder på att tidningen upptäckte problem med en webbapplikation som tillät vem som helst att söka igenom en databas med certifieringar och meriter som tillhör mer än 100 000 av statens lärare. Betalningsuppgifter och personnummer var också sårbara på grund av problemet.

Tidningen kontaktade avdelningen och sidorna togs bort. Allt detta gjordes innan berättelsen publicerades för att ge staten tid att rätta till sårbarheten. Tidningen höll också på att publicera berättelsen för att låta andra statliga myndigheter fixa liknande sårbarheter i andra webbapplikationer.

Statstjänstemän sa att de undersökte hur länge uppgifterna exponerades. Men senare på dagen höll Parson en presskonferens där han baserade Renaud och tidningen och hotade med rättsliga åtgärder för deras beslut att meddela staten om frågan.

Han fördubblade sedan hoten i en Twitter -tråd som väckte stor förlöjlighet och upprördhet från teknologexperter som ifrågasatte om guvernören och hans team verkligen förstod vad de diskuterade.

Parson hävdade att “en individ tog register över minst tre lärare, avkodade HTML -källkoden och tittade på SSN för de specifika lärarna. ”

Han sa att hans kontor meddelade Cole County åklagare och Highway Patrol's Digital Forensic Unit och beordrade dem att undersöka vad som hände.

“Efter att ha fått detta meddelande kontaktade DESE omedelbart Missouri Office of Administration ITSD, som programmerar och underhåller webbapplikationen, för att ta bort allmän åtkomst till portalen och uppdatera koden. Det här är allvarligt”, skrev Parson.

“Staten förbinder sig att ställa inför rätta alla som hackat vårt system och alla som hjälpte eller uppmuntrade dem att göra det – i enlighet med vad Missouri -lagen tillåter OCH kräver. En hackare är någon som vinner obehörig tillgång till information eller innehåll. Den här personen hade inte behörighet att göra vad de gjorde. De hade ingen behörighet att konvertera och avkoda koden. ”

Parson fortsatte med att säga att Renaud begick ett brott eftersom det är ett brott att “komma åt, ta och granska personlig information utan tillstånd.”

“Denna data var inte fritt tillgänglig och måste konverteras och avkodas. Staten tar inte lätt på den här frågan och vi arbetar för att stärka vår säkerhet för att förhindra att den här incidenten händer igen, säger Parson.

“Staten äger sin del, och vi tar upp områden där vi måste göra det bättre än vi har gjort tidigare. Vi kommer inte att vila förrän vi tydligt har förstått avsikten med den här individen och varför de riktade sig till Missouri -lärare.”

Andra lokala nyhetsbyråer noterade att Parson länge har uttryckt ett djupt hat mot statens stora nyhetsmedier om deras täckning av hans hantering av COVID-19-krisen och hans förkärlek för att dela ut bud utan kontrakt.

Även medlemmar i Parsons eget parti kritiserade honom för hans uttalanden, medan republikanska rep. Tony Lovasco skrev på Twitter att det var “klart att guvernörens kontor har ett grundläggande missförstånd om både webbteknik och branschstandardförfaranden för att rapportera säkerhetsproblem.

“Journalister som på ett ansvarsfullt sätt larmar om dataskydd är inte kriminell hackning”, säger Lovasco.

St. Louis Post-Dispatch försvarade Renaud i ett uttalande och sa att han gjorde rätt genom att rapportera sin fynd till DESE innan det kunde utnyttjas.

“För DESE att avleda sina misslyckanden genom att hänvisa till detta som” hacking “är ogrundat”, säger tidningens advokat, Joseph Martineau, i ett uttalande för Renauds historia.

guvernör Parson

Guvernörens uttalanden grundades grundligt av experter som noterade att vad Renaud gjorde var så enkelt som att trycka på F12 -tangenten på vissa enheter.

BreachQuest CTO Jake Williams sa till ZDNet att organisationer bör vara försiktiga med att inte skjuta budbäraren när säkerhetsbrister avslöjas.

“Det här är verkligen inte hackning i någon mening av ordet. Det verkar som om reportern använde en allmänt tillgänglig webbapplikation som är avsedd att underlätta sökning efter lärares certifieringar. När resultaten visades tittade reportern på webbsidans källkod och hittade personnummer, säger Williams.

“Medan guvernör Parson sa att reportern” avkodade HTML -källkoden “i verkligheten använde de helt enkelt funktionen som är inbyggd i varje webbläsare sedan Internet började, eftersom HTTP är statslös lagrar många webbapplikationer sin status i dolda formulärfält så att de kan skickas från webbläsaren tillbaka till servern med varje begäran. Det verkar troligt att dessa dolda formulärfält inkluderade lärarens personnummer. Frågan om detta var ett brott kan vara mer svartvitt om reportern hade räknat upp alla poster innan du rapporterar problemet. ”

Williams noterade att även Parsons omnämnande av endast tre inspelade uppgifter verkar motsäga alla onda avsikter.

Han tillade att i stället för att fokusera på denna så kallade hackning borde Parson vara orolig för säkerheten i statens applikationer, särskilt de som är tillgängliga för allmänt bruk. Renauds historia noterade att staten tidigare har mött kritik för sina datainsamlingsmetoder.

“Att hitta en sådan brist 2021 borde uppriktigt sagt vara pinsamt för staten. Det skulle inte vara första gången som en politiker har skjutit på alla cylindrar som hävdar att tillgång till offentligt tillgänglig information var hackning”, sade Williams.

“Att hota en reporter med rättsliga åtgärder är nästan alltid en dålig idé och skapar vanligtvis en oavsiktlig Streisand -effekt.”

Vectras tekniska chef Tim Wade sa att situationen betonade behovet av att skydda säkerheten forskare som verkar i det allmännas bästa och den motreaktion de vanligtvis möter för att upptäcka sårbarheter.

Upprördheten riktad mot dem som upptäcker dataförlust och sårbarheter måste omdirigeras till de främsta orsakerna till varför dessa säkerhetsfel fortsätter att inträffa till nackdel för individuell säkerhet, tillade Wade.

Han noterade att de flesta domstolar erkänner gränser för skydd mot olaglig sökning när aktiviteter sker tydligt i ett offentligt sammanhang och förklarade att det är svårt att föreställa sig att den lågtekniska förfining av beteenden som beskrivs, med ett verktyg som vanligt som en webbläsare, utgör allt annat än den digitala ekvivalenten av observationer som görs i ett offentligt sammanhang.

John Bambenek, den främsta hotjägaren på Netenrich, sa att regeringens ledare borde tacka människor som meddelar sin regering om problem, inte hota dem.

”Under hela mänsklighetens historia har kejsare svarat dem som berättade att de hade på sig inga kläder genom att surra ut i ilska över djärvheten hos dem som skulle våga säga något sådant, säger Bambenek.

“Livet skulle vara bättre om de, du vet, bara tog på sig byxor. Jag är säker på att alla verkliga kriminella hackare på planeten märkte denna tirad och du kan satsa på att de justerar sin inriktning i enlighet därmed.”

Säkerhet

När din VPN är en fråga om liv eller död, lita inte på recensioner Ransomware -gäng klagar på att andra skurkar stjäl sina lösenband Bandwidth CEO bekräftar avbrott orsakade av DDoS -attack Dessa system står inför miljontals attacker varje månad som hackare försöker gissa lösenord Hur man får ett högst betalande jobb inom cybersäkerhet Cybersecurity 101: Skydda din integritet från hackare, spioner, regeringen

Relaterade ämnen:

Säkerhet CXO Innovation Smart Cities  Jonathan Greig

Av Jonathan Greig | 14 oktober 2021 | Ämne: Regeringen: USA