Missouri -guvernør Mike Parson truer med rettslige skritt mot en reporter og en avis som fant og ansvarlig avslørte et sikkerhetsproblem som gjorde at lærer- og utdanningspersonalets personnummer ble avslørt og lett tilgjengelig.
St. Louis Post-Dispatch rapporterer at den varslet Missouri Department of Elementary and Secondary Education (DESE) om at et av verktøyene var å returnere HTML-sider som inneholdt SSN-er til ansatte, noe som potensielt kunne sette informasjon om over 100 000 ansatte i fare. Til tross for at uttaket ventet til verktøyet ble tatt av staten for å publisere historien, har journalisten blitt kalt en “hacker” av guvernør Parson, som sier at han vil få fylkesadvokaten og etterforskerne involvert.
I følge Post-Dispatch var verktøyet som inneholdt sårbarheten designet for å la publikum se lærernes legitimasjon. Imidlertid inkluderte den angivelig også den ansattes SSN på siden den returnerte-mens den tilsynelatende ikke virket som synlig tekst på skjermen, rapporterer KrebsOnSecurity at det ville være like enkelt å få tilgang til den som å høyreklikke på siden og klikke på Inspiser element eller Vis kilde.
Å se ansattes SSN -er var angivelig like enkelt som å klikke på Vis kilde
Mens reporteren fulgte standardprotokoller for avsløring og rapportering om sårbarheten, behandler guvernøren ham som om han angrep nettsted eller prøvde å få tilgang til lærerens private informasjon for uheldige formål.
På en pressekonferanse beskrev guvernør Parson journalistens handlinger som “dekoding av HTML -kildekoden”, noe som får det til å virke mistenkelig og hemmelig. Han beskriver imidlertid bokstavelig talt hvordan visning av et nettsted fungerer – det er serverens jobb å sende en HTML -fil til datamaskinen din, slik at du kan se den, og alt som er inkludert i filen er ikke hemmelig (selv om den ikke er fysisk synlig på din skjermen når du ser den nettsiden). Guvernør Parson sier at ingenting på DESEs nettsted ga brukere tillatelse til å få tilgang til SSN -dataene, men det ble gitt fritt.
Du kan se guvernørens fullstendige pressekonferanse nedenfor.
The Verge har kontaktet Missouri DESE for å avklare om verktøyet var offentlig tilgjengelig eller nødvendig for pålogging, og som svar sier DESE at den eneste kommentaren (på grunn av den pågående undersøkelsen) er at dataene nå er beskyttet. Selvfølgelig er det å være tilgjengelig i det hele tatt et problem, uavhengig av om det var bak en pålogging.
Sysselmannens svar flyr i møte med vanlig praksis
Missouris svar er, for å si det lett, det stikk motsatte av vanlig praksis. Mange organisasjoner har feil- eller sikkerhetsbonuser til en verdi av hundretusenvis av dollar, som de vil betale til hackere som finner og på en ansvarlig måte avslører feil som disse. Grunnen til at disse eksisterer er at de vil gjøre systemene dine tryggere – ja, folk vil lete etter og finne sårbarheter, men det var sannsynligvis allerede noen som gjorde det. Med en bug -dusør forteller de deg det, slik at du kan fikse det i stedet for å selge informasjonen på det mørke nettet eller bruke den til personlig vinning. Denne typen summer er åpenbart ikke rimelig for skoledistrikter, som ofte har underfinansierte IT -avdelinger på grunn av krympende budsjetter, men det er mange alternativer mellom å betale ut store summer og true med søksmål.
< p id = "X05RIj"> Guvernør Parson sier at hendelsen kan koste statens skattebetalere 50 millioner dollar. Hvis en ondsinnet hacker hadde funnet skattkammeret til SSN -er, ville det sannsynligvis vært enda dyrere: staten ville fortsatt ha måttet fikse systemet, og det ville ha lærere som ville ha solide krav mot det hvis de trengte det identitetstjenester.
Du må fortsatt reparere sårbarheter selv om du ikke blir kalt ut offentlig for dem
Guvernør Parson (sammen med en pressemelding fra Administrasjonskontoret) presiserer at SSN -ene bare var tilgjengelige én om gangen – en liste over alle ansattes private informasjon ble ikke inkludert i HTML -filene. Men som alle som har sett åpningsscenen til The Social Network vet, kan det være trivielt for hackere å laste ned alle sidene fra et program og fjerne spesifikke opplysninger fra dem. Bare fordi reporteren ikke gjorde det (det ville uten tvil vært uansvarlig hvis han hadde gjort det) betyr ikke at det ikke var mulig og ikke snakker til god sikkerhetspraksis.
Å forfølge denne avsløringen vil sette mennesker i Missouri i fare
For å være tydelig: å straffeforfølge journalisten, nyhetsmediet og alle involverte vil bare tjene til å sette mennesker i Missouri i fare fordi ingen vil rapportere sikkerhetsfeil de har funnet i offentlige systemer hvis statens svar vil sende rettshåndhevelse etter dem. Sikkerhetsfeil som dette er ekstremt uheldig, men de vil uunngåelig skje (Post-Dispatch rapporterer at DESE ble funnet å ha lagret student-SSN ved en revisjon i 2015). Både hos offentlige enheter og selskaper er den virkelige testen ikke om det skjer, men hvordan du reagerer på det. Dessverre virker det som om guvernør Parson mislykkes i testen.
Oppdatert 14. oktober, 17:52 ET: Oppdatert for å gjenspeile kommentaren fra DESE.