Missouri -guvernør Mike Parson møter kritikk fra teknologer og journalister etter at han avgav en voldsom, teknologisk unøyaktig uttalelse som truet med å arrestere en reporter for å ha oppdaget at personnummeret til skolelærere, administratorer og rådgivere i Missouri var utsatt for offentlig eksponering på grunn av feil på et nettsted som vedlikeholdes av statens avdeling for grunnskole og videregående opplæring.
St. Louis Post-Dispatch-reporter Josh Renaud skrev en historie på torsdag som indikerte at avisen oppdaget problemer med en webapplikasjon som tillot hvem som helst å søke gjennom en database med sertifiseringer og legitimasjon som tilhører mer enn 100 000 av statens lærere. Betalingsdata og personnummer var også sårbare på grunn av problemet.
Avisen kontaktet avdelingen og sidene ble fjernet. Alt dette ble gjort før historien ble publisert for å gi staten tid til å rette opp sårbarheten. Avisen holdt også ut med å publisere historien for å la andre statlige byråer fikse lignende sårbarheter i andre webapplikasjoner.
Statlige tjenestemenn sa at de undersøkte hvor lenge dataene ble avslørt. Men senere på dagen holdt Parson en pressekonferanse der han basket Renaud og avisen og truet med søksmål for deres beslutning om å varsle staten om saken.
Deretter doblet han truslene i en Twitter -tråd som vakt utbredt latterliggjøring og forargelse fra teknologieksperter som satte spørsmålstegn ved om guvernøren og teamet hans virkelig forsto hva de diskuterte.
Parson hevdet at “en person tok registreringer av minst tre lærere, dekodet HTML -kildekoden og så SSN for de spesifikke lærerne. ”
Han sa at kontoret hans varslet Cole County -aktor og Highway Patrol's Digital Forensic Unit og beordret dem til å undersøke hva som skjedde.
“Etter å ha mottatt denne kunngjøringen, kontaktet DESE umiddelbart Missouri Office of Administration ITSD, som programmerer og vedlikeholder webapplikasjonen, for å fjerne offentlig tilgang til portalen og oppdatere koden. Denne saken er alvorlig,” skrev Parson.
“Staten forplikter seg til å stille noen som har hacket systemet vårt og alle som har hjulpet eller oppmuntret dem til å stille for retten. En hacker er en som vinner uautorisert tilgang til informasjon eller innhold. Denne personen hadde ikke tillatelse til å gjøre det de gjorde. De hadde ikke autorisasjon til å konvertere og dekode koden. ”
Parson fortsatte med å si at Renaud begikk et lovbrudd fordi det er en forbrytelse å “få tilgang til, ta og undersøke personlig informasjon uten tillatelse.”
“Disse dataene var ikke fritt tilgjengelige og måtte konverteres og dekodes. Staten tar ikke lett på denne saken, og vi jobber med å styrke vår sikkerhet for å forhindre at denne hendelsen skjer igjen, sier Parson.
“Staten eier sin del, og vi tar for oss områder der vi må gjøre det bedre enn vi har gjort før. Vi vil ikke hvile før vi har klart forstått intensjonen til denne personen og hvorfor de var rettet mot Missouri -lærere.”
Andre lokale nyhetsbyråer bemerket at Parson lenge har uttrykt et dypt hat mot statens store nyhetssentre om deres omtale av hans håndtering av COVID-19-krisen og hans forkjærlighet for å dele ut tilbud uten bud.
Til og med medlemmer av Parsons eget parti kritiserte ham for uttalelsene hans, med den republikanske representanten Tony Lovasco som skrev på Twitter at det var “klart at guvernørens kontor har en grunnleggende misforståelse av både webteknologi og industristandardprosedyrer for rapportering av sikkerhetsproblemer.
“Journalister som på en ansvarlig måte slår alarm om personvern er ikke kriminell hacking,” sa Lovasco.
St. Louis Post-Dispatch forsvarte Renaud i en uttalelse og sa at han gjorde det riktige ved å rapportere sin funn til DESE før det kunne utnyttes.
“For DESE å avlede sine feil ved å omtale dette som” hacking “er ubegrunnet,” sa avisens advokat, Joseph Martineau, i en uttalelse for Renauds historie.
guvernør Parson
Guvernørens uttalelser ble grundig grunnet av eksperter som bemerket at det Renaud gjorde var så enkelt som å trykke på F12 -tasten på visse enheter.
BreachQuest CTO Jake Williams sa til ZDNet at organisasjoner bør være forsiktige med å skyte budbringeren når sikkerhetsproblemer avsløres.
“Dette er absolutt ikke hacking i noen betydning av ordet. Det ser ut til at reporteren brukte en offentlig tilgjengelig webapplikasjon som var ment å lette søk etter lærersertifiseringer. Da resultatene ble vist, så så reporteren ganske enkelt kildekoden til nettsiden og fant personnummeret, “sa Williams.
“Mens guvernør Parson sa at reporteren” dekoder HTML -kildekoden “i virkeligheten, brukte de ganske enkelt funksjonen som er innebygd i hver nettleser siden internett begynte. Siden HTTP er statsløs, lagrer mange webapplikasjoner sin status i skjulte skjemafelt slik at de kan sendes fra nettleseren tilbake til serveren med hver forespørsel. Det virker sannsynlig at disse skjulte skjemafeltene inkluderte personnummeret til læreren. Spørsmålet om dette var en forbrytelse kan være mer svart -hvitt hvis reporteren hadde oppført alle poster før du rapporterer problemet. ”
Williams bemerket at til og med Parsons omtale av bare tre registreringer synes å motsi enhver ondsinnet hensikt.
Han la til at i stedet for å fokusere på denne såkalte hackingen, burde Parson være bekymret for sikkerheten til statens applikasjoner, spesielt de som er tilgjengelige for offentlig bruk. Renauds historie bemerket at staten tidligere har møtt kritikk for sine datainnsamlingspraksis.
“Å finne en feil som dette i 2021 burde ærlig talt være flaut for staten. Det ville ikke være første gang en politiker har skutt på alle sylindere og hevdet at tilgang til offentlig tilgjengelig informasjon var hacking,” sa Williams.
“Å true en reporter med rettslige skritt er nesten alltid en dårlig idé og skaper vanligvis en utilsiktet Streisand -effekt.”
Vectra teknisk direktør Tim Wade sa at situasjonen understreket behovet for å beskytte sikkerhet forskere som opererer i allmennheten og tilbakeslaget de vanligvis står overfor for å oppdage sårbarheter.
Opprinnelsen rettet mot de som oppdager tap av data og sårbarheter må omdirigeres til grunnårsakene til hvorfor disse sikkerhetsfeilene fortsetter å skje til skade for individuell sikkerhet, la Wade til.
Han bemerket at de fleste domstoler anerkjenner grenser for beskyttelse mot ulovlig søk når aktiviteter skjer tydelig i en offentlig kontekst og forklarte at det er vanskelig å forestille seg at den lavteknologiske sofistikeringen av atferden beskrevet, med et verktøy som vanlig som en nettleser, utgjør alt annet enn den digitale ekvivalenten av observasjoner gjort i en offentlig sammenheng.
John Bambenek, den viktigste trusseljegeren på Netenrich, sa at regjeringsledere burde takke folk som varsler regjeringen om problemer, ikke truer dem.
“Gjennom hele menneskets historie har keisere svart til dem som fortalte at de hadde på seg ingen klær ved å surre ut i sinne over frimodigheten til de som tør å si slikt, sier Bambenek.
“Livet ville vært bedre hvis de, du vet, bare tok på seg bukser. Jeg er sikker på at hver faktisk kriminell hacker på planeten la merke til denne tiraden, og du kan satse på at de justerer målrettingen deretter.”
Sikkerhet
Når VPN er et spørsmål om liv eller død, ikke stol på anmeldelser Ransomware -gjengene klager over at andre skurker stjeler løsepengene sine Bandwidth CEO bekrefter avbrudd forårsaket av DDoS -angrep Disse systemene står overfor milliarder av angrep hver måned som hackere prøver å gjette passord Hvordan få en best betalende jobb innen cybersecurity Cybersecurity 101: Beskytt personvernet ditt mot hackere, spioner, regjeringen
Relaterte emner:
Sikkerhet CXO Innovation Smart Cities 