Guvernør i Missouri truer journalisten, der opdagede, at statens websted spildte private oplysninger

0
88

Missouri -guvernør Mike Parson truer med retssager mod en reporter og en avis, der fandt og på ansvarlig vis afslørede en sikkerhedssårbarhed, der efterlod lærer- og undervisningsmedarbejderes socialsikringsnumre udsatte og let tilgængelige.

St. Louis Post-Dispatch rapporterer, at det meddelte Missouri Department of Elementary and Secondary Education (DESE), at et af dets værktøjer returnerede HTML-sider, der indeholdt medarbejder-SSN'er, hvilket potentielt kunne bringe oplysninger om over 100.000 medarbejdere i fare. På trods af at stikkontakten ventede, indtil værktøjet blev taget ned af staten for at offentliggøre sin historie, er journalisten blevet kaldt en “hacker” af guvernør Parson, der siger, at han vil få amtets anklager og efterforskere involveret.

Ifølge Post-Dispatch var værktøjet, der indeholdt sårbarheden, designet til at lade offentligheden se lærernes legitimationsoplysninger. Imidlertid inkluderede det angiveligt også medarbejderens SSN på den side, det returnerede-selvom det tilsyneladende ikke forekom som synlig tekst på skærmen, rapporterer KrebsOnSecurity, at det ville være lige så let at få adgang til det som at højreklikke på siden og klikke på Inspicer element eller Vis kilde.

At se medarbejderens SSN'er var efter sigende lige så let som at klikke på Vis kilde

Mens reporteren fulgte standardprotokoller til afsløring og rapportering om sårbarheden, behandler guvernøren ham, som om han angreb den websted eller forsøgte at få adgang til lærerens private oplysninger til uhyggelige formål.

På et pressemøde beskrev guvernør Parson journalistens handlinger som “afkodning af HTML -kildekoden”, hvilket får det til at virke mistænkeligt og hemmeligt. Han beskriver imidlertid bogstaveligt talt, hvordan visning af et websted fungerer – det er serverens opgave at sende en HTML -fil til din computer, så du kan se den, og alt, der er inkluderet i den fil, er ikke hemmeligt (selvom den ikke er fysisk synlig på din skærm, når du ser den webside). Guvernør Parson siger, at intet på DESEs websted gav brugerne tilladelse til at få adgang til SSN -data, men det blev givet frit.

Du kan se guvernørens fulde pressemøde herunder.

The Verge har kontaktet Missouri DESE for at afklare, om værktøjet var offentligt tilgængeligt eller krævede at logge ind, og som svar siger DESE, at dets eneste kommentar (på grund af den igangværende undersøgelse) er, at dataene nu er beskyttet. Selvfølgelig er det overhovedet tilgængeligt et problem, uanset om det stod bag et login.

Guvernørens svar flyver i lyset af almindelig praksis

Missouris svar er, for at sige det let, det stik modsatte af almindelig praksis. Mange organisationer har fejl- eller sikkerhedsgodtgørelser til en værdi af hundredtusinder af dollars, som de betaler til hackere, der finder og ansvarligt afslører fejl som disse. Grunden til, at disse findes, er, at de vil gøre dine systemer mere sikre – ja, folk vil lede efter og finde sårbarheder, men der var sandsynligvis allerede nogen, der gjorde det. Med en bug -dusør fortæller de dig det, så du kan rette det frem for at sælge disse oplysninger på det mørke web eller bruge det til personlig vinding. Det er klart, at den slags summer ikke er rimelige for skoledistrikter, der ofte har underfinansierede it -afdelinger på grund af faldende budgetter, men der er mange muligheder mellem at udbetale store summer og true med retssager.

< p id = "X05RIj"> Guvernør Parson siger, at hændelsen kan koste statens skatteydere 50 millioner dollars. Hvis en ondsindet hacker havde fundet skatkammeret af SSN'er, ville det sandsynligvis have været endnu dyrere: staten ville stadig have været nødt til at reparere systemet, og det ville have lærere, der ville have solide krav mod det, hvis de havde brug for det identitetsbeskyttelse.

Du skal stadig reparere sårbarheder, selvom du ikke offentligt bliver kaldt til dem

Guvernør Parson (sammen med en pressemeddelelse fra Administrationskontoret) præciserer, at SSN'erne kun var tilgængelige én ad gangen – en liste over alle medarbejderes private oplysninger var ikke inkluderet i HTML -filerne. Men som enhver, der har set åbningsscenen i The Social Network ved, kan det være trivielt for hackere at downloade alle siderne fra en applikation og fjerne specifikke oplysninger fra dem. Bare fordi reporteren ikke gjorde det (det ville uden tvivl have været uansvarligt, hvis han havde gjort det), betyder det ikke, at det ikke var muligt og ikke taler til god sikkerhedspraksis.

At retsforfølge denne afsløring vil sætte mennesker i Missouri i fare

For at være klar: retsforfølgelse af reporteren, nyhedsmedie og alle involverede vil kun tjene til at bringe folk i Missouri i fare, fordi ingen vil rapportere sikkerhedsfejl, de har fundet i offentlige systemer, hvis statens svar vil sende retshåndhævelse efter dem. Sikkerhedsfejl som denne er yderst uheldige, men de vil uundgåeligt ske (Post-Dispatch rapporterer, at DESE viste sig at have gemt elev SSN'er ved en revision i 2015). Både hos offentlige enheder og virksomheder er den virkelige test ikke, om det sker, men hvordan du reagerer på det. Desværre ser det ud til, at guvernør Parson fejler denne test.

Opdateret 14. oktober, 17:52 ET: Opdateret for at afspejle kommentar fra DESE.