Missouri -guvernør Mike Parson udsættes for kritik fra teknologer og journalister, efter at han udsendte en voldsom, teknologisk unøjagtig erklæring, der truede med at arrestere en reporter for at opdage, at skolelæreres, administratorer og rådgivere i Missouri var sårbare over for offentlig eksponering på grund af fejl på et websted, der vedligeholdes af statens afdeling for elementær og sekundær uddannelse.
St. Louis Post-Dispatch-reporter Josh Renaud skrev torsdag en historie, der angav, at avisen opdagede problemer med en webapplikation, der tillod enhver at søge gennem en database med certificeringer og legitimationsoplysninger tilhørende mere end 100.000 af statens lærere. Betalingsdata og personnummer var også sårbare på grund af problemet.
Avisen kontaktede afdelingen, og siderne blev fjernet. Alt dette blev gjort, før historien blev offentliggjort for at give staten tid til at rette op på sårbarheden. Avisen holdt også op med at offentliggøre historien for at give andre statslige agenturer mulighed for at rette lignende sårbarheder i andre webapplikationer.
Statsembedsmænd sagde, at de undersøgte, hvor længe dataene blev afsløret. Men senere på dagen holdt Parson et pressemøde, hvor han baserede Renaud og avisen og truede med retssag for deres beslutning om at underrette staten om spørgsmålet.
Han fordoblede derefter truslerne i en Twitter -tråd, der vakte stor latterliggørelse og forargelse fra teknologieksperter, der stillede spørgsmålstegn ved, om guvernøren og hans team virkelig forstod, hvad de diskuterede.
Parson hævdede, at “en person tog registreringer af mindst tre undervisere, afkodede HTML -kildekoden og så SSN for de specifikke undervisere. ”
Han sagde, at hans kontor underrettede anklagemyndigheden i Cole County og Highway Patrol's Digital Forensic Unit og beordrede dem til at undersøge, hvad der skete.
“Efter at have modtaget denne meddelelse, kontaktede DESE straks Missouri Office of Administration ITSD, som programmerer og vedligeholder webapplikationen, for at fjerne offentlig adgang til portalen og opdatere koden. Dette spørgsmål er alvorligt,” skrev Parson.
“Staten forpligter sig til at stille enhver, der har hacket vores system, og alle, der har hjulpet eller opmuntret dem til domstol, for retten – i overensstemmelse med hvad Missouri -lov tillader OG kræver. En hacker er en person, der vinder uautoriseret adgang til information eller indhold. Denne person havde ikke tilladelse til at gøre, hvad de gjorde. De havde ikke tilladelse til at konvertere og afkode koden. ”
Parson sagde videre, at Renaud begik en lovovertrædelse, fordi det er en forbrydelse at “få adgang til, tage og undersøge personlige oplysninger uden tilladelse.”
“Disse data var ikke frit tilgængelige og skulle konverteres og afkodes. Staten tager ikke let på dette spørgsmål, og vi arbejder på at styrke vores sikkerhed for at forhindre, at denne hændelse sker igen, “sagde Parson.
“Staten ejer sin del, og vi tager fat på områder, hvor vi skal gøre det bedre, end vi har gjort før. Vi vil ikke hvile, før vi klart forstår hensigten med denne person, og hvorfor de var rettet mod Missouri -lærere.”
Andre lokale nyhedsmedier bemærkede, at Parson længe har udtrykt et dybt had til statens store nyhedsudsendelser over deres dækning af hans håndtering af COVID-19-krisen og hans hang til at uddele kontrakter uden bud.
Selv medlemmer af Parsons eget parti kritiserede ham for hans udtalelser, mens den republikanske rep. Tony Lovasco skrev på Twitter, at det var “klart, at guvernørens kontor har en grundlæggende misforståelse af både webteknologi og branchestandardprocedurer for rapportering af sikkerhedssårbarheder.
“Journalister, der på en ansvarlig måde slår alarm om databeskyttelse, er ikke kriminel hacking,” sagde Lovasco.
St. Louis Post-Dispatch forsvarede Renaud i en erklæring og sagde, at han gjorde det rigtige ved at rapportere sin fund til DESE, før det kunne udnyttes.
“For DESE at aflede sine fejl ved at omtale dette som 'hacking' er ubegrundet,” sagde avisens advokat, Joseph Martineau, i en erklæring til Renauds historie.
guvernør Parson
Guvernørens udsagn blev grundigt grundet af eksperter, der bemærkede, at hvad Renaud gjorde var så simpelt som at trykke på F12 -tasten på visse enheder.
BreachQuest CTO Jake Williams sagde til ZDNet, at organisationer bør være forsigtige med ikke at skyde messengeren, når der afsløres sikkerhedsproblemer.
“Dette er bestemt ikke hacking i nogen betydning af ordet. Det ser ud til, at reporteren brugte en offentligt tilgængelig webapplikation, der havde til formål at lette søgningen efter lærercertificeringer. Da resultaterne blev vist, så reporteren blot kildekoden på websiden og fundet personnummer, “sagde Williams.
“Mens guvernør Parson sagde, at journalisten i virkeligheden 'afkodede HTML -kildekoden', brugte de simpelthen funktionen, der er indbygget i hver webbrowser siden internettets begyndelse. Fordi HTTP er statsløs, gemmer mange webapplikationer deres status i skjulte formfelter, så de kan kan sendes fra browseren tilbage til serveren med hver forespørgsel. Det forekommer sandsynligt, at disse skjulte formularfelter omfattede lærerens personnummer. Spørgsmålet om, hvorvidt dette var en forbrydelse, kunne være mere sort og hvid, hvis reporteren havde opregnet alle registreringer, før du rapporterer problemet. ”
Williams bemærkede, at selv Parson's omtale af kun tre optagelser synes at modsige enhver ondsindet hensigt.
Han tilføjede, at i stedet for at fokusere på denne såkaldte hacking, burde Parson være bekymret over sikkerheden i statens applikationer, især dem, der er tilgængelige til offentligt brug. Renauds historie bemærkede, at staten tidligere har stået over for kritik for sin dataindsamlingspraksis.
“At finde en fejl som denne i 2021 burde ærligt talt være pinligt for staten. Det ville ikke være første gang, at en politiker har affyret alle cylindre, der hævder, at adgang til offentligt tilgængelig information var hacking,” sagde Williams.
“At true en reporter med retssager er næsten altid en dårlig idé og skaber normalt en utilsigtet Streisand -effekt.”
Vectra teknisk direktør Tim Wade sagde, at situationen understregede behovet for at beskytte sikkerheden forskere, der opererer i det offentlige gode og den modreaktion, de typisk står over for for at opdage sårbarheder.
Den forargelse, der er rettet mod dem, der opdager datatab og sårbarheder, skal omdirigeres til grundårsagerne til, hvorfor disse sikkerhedsfejl fortsat sker til skade for den enkelte sikkerhed, tilføjede Wade.
Han bemærkede, at de fleste domstole anerkender grænser for beskyttelse mod ulovlig søgning, når aktiviteter sker klart i en offentlig kontekst og forklarede, at det er svært at forestille sig, at den lavteknologiske sofistikering af den beskrevne adfærd med et værktøj som almindeligt som en webbrowser udgør alt andet end den digitale ækvivalent af observationer foretaget i en offentlig kontekst.
John Bambenek, hovedtrusseljæger ved Netenrich, sagde, at regeringens ledere skulle takke folk, der underretter deres regering om problemer og ikke true dem.
”Gennem menneskets historie har kejsere reageret på dem, der fortalte dem, at de ikke havde noget på tøj ved at slå ud i vrede over frækheden hos dem, der tør sige sådan noget, «sagde Bambenek.
“Livet ville være bedre, hvis de, du ved, bare tog bukser på. Jeg er sikker på, at hver egentlig kriminel hacker på planeten har lagt mærke til denne tirade, og du kan satse på, at de justerer deres målretning i overensstemmelse hermed.”
Sikkerhed
Når din VPN er et spørgsmål om liv eller død, skal du ikke stole på anmeldelser Ransomware -bander klager over, at andre skurke stjæler deres løsesum Båndbredde -CEO bekræfter afbrydelser forårsaget af DDoS -angreb Disse systemer står over for milliarder af angreb hver måned som hackere forsøger at gætte adgangskoder Sådan får du et bedst betalende job inden for cybersecurity Cybersecurity 101: Beskyt dit privatliv mod hackere, spioner, regeringen
Relaterede emner:
Sikkerhed CXO Innovation Smart Cities 