Il governatore del Missouri Mike Parson sta minacciando un'azione legale contro un giornalista e un giornale che hanno scoperto e divulgato responsabilmente una vulnerabilità di sicurezza che ha lasciato i numeri di previdenza sociale degli insegnanti e del personale educativo esposti e facilmente accessibili.
Il St. Louis Post-Dispatch riferisce di aver notificato al Missouri Department of Elementary and Secondary Education (DESE) che uno dei suoi strumenti restituiva pagine HTML che contenevano SSN dei dipendenti, mettendo potenzialmente a rischio le informazioni di oltre 100.000 dipendenti. Nonostante il fatto che l'outlet abbia aspettato fino a quando lo strumento non fosse stato rimosso dallo stato per pubblicare la sua storia, il giornalista è stato definito un “hacker” dal governatore Parson, il quale afferma che coinvolgerà il procuratore della contea e gli investigatori.
Secondo il Post-Dispatch, lo strumento che conteneva la vulnerabilità era progettato per consentire al pubblico di vedere le credenziali degli insegnanti. Tuttavia, secondo quanto riferito, includeva anche l'SSN del dipendente nella pagina restituita – mentre apparentemente non appariva come testo visibile sullo schermo, KrebsOnSecurity riporta che accedervi sarebbe stato facile come fare clic con il pulsante destro del mouse sulla pagina e fare clic su Ispeziona elemento o Visualizza sorgente.
Secondo quanto riferito, vedere i codici SSN dei dipendenti era facile come fare clic su Visualizza sorgente
Mentre il giornalista ha seguito i protocolli standard per la divulgazione e la segnalazione della vulnerabilità, il governatore lo tratta come se avesse attaccato il sito o stava tentando di accedere alle informazioni private dell'insegnante per scopi nefasti.
In una conferenza stampa, il governatore Parson ha descritto le azioni del giornalista come “decodifica del codice sorgente HTML”, il che lo fa sembrare sospetto e clandestino. Tuttavia, sta letteralmente descrivendo come funziona la visualizzazione di un sito Web: è compito del server inviare un file HTML al tuo computer in modo che tu possa vederlo e tutto ciò che è incluso in quel file non è segreto (anche se non è fisicamente visibile sul tuo schermo quando si visualizza quella pagina web). Il governatore Parson afferma che nulla sul sito Web di DESE ha concesso agli utenti il permesso di accedere ai dati SSN, ma è stato fornito gratuitamente.
Puoi vedere la conferenza stampa completa del governatore di seguito.
The Verge ha contattato il Missouri DESE per chiarire se lo strumento era accessibile pubblicamente o se richiedeva l'accesso e, in risposta, il DESE afferma che il suo unico commento (a causa delle indagini in corso) è che i dati sono ora protetti. Naturalmente, essere accessibile è un problema, indipendentemente dal fatto che fosse dietro un login.
La risposta del governatore va contro la pratica standard
La risposta del Missouri è, per dirla alla leggera, l'esatto opposto della pratica standard. Molte organizzazioni hanno premi per bug o sicurezza del valore di centinaia di migliaia di dollari, che pagheranno agli hacker che trovano e divulgano responsabilmente difetti come questi. Il motivo per cui esistono è che renderanno i tuoi sistemi più sicuri: sì, le persone cercheranno e troveranno vulnerabilità, ma probabilmente c'era già qualcuno che lo faceva comunque. Con una taglia di bug, ti stanno dicendo che puoi risolverlo piuttosto che vendere quelle informazioni sul dark web o usarle per guadagno personale. Ovviamente, questo tipo di somme non sono ragionevoli per i distretti scolastici, che spesso hanno dipartimenti IT sottofinanziati a causa della riduzione dei budget, ma ci sono molte opzioni tra il pagamento di ingenti somme di denaro e la minaccia di azioni legali.
< p id="X05RIj">Il governatore Parson afferma che l'incidente potrebbe costare ai contribuenti dello stato 50 milioni di dollari. Se un hacker malintenzionato avesse trovato il tesoro dei SSN, probabilmente sarebbe stato ancora più costoso: lo stato avrebbe comunque dovuto riparare il sistema e avrebbe avuto insegnanti che avrebbero solide pretese contro di esso se ne avessero avuto bisogno servizi di protezione dell'identità.
Devi comunque correggere le vulnerabilità anche se non sei chiamato pubblicamente per loro
Il governatore Parson (insieme a un comunicato stampa dell'Ufficio di amministrazione) chiarisce che i SSN erano accessibili solo uno alla volta: nei file HTML non era incluso un elenco di tutte le informazioni private dei dipendenti. Ma come sa chiunque abbia visto la scena di apertura di The Social Network, può essere banale per gli hacker scaricare tutte le pagine da un'applicazione e rimuoverne informazioni specifiche. Solo perché il giornalista non l'ha fatto (sarebbe stato probabilmente irresponsabile se l'avesse fatto) non significa che non fosse possibile e non parla di buone pratiche di sicurezza.
Perseguire questa divulgazione metterà a rischio le persone nel Missouri
Per essere chiari: perseguire il giornalista, l'agenzia di stampa e chiunque sia coinvolto servirà solo a mettere a rischio le persone nel Missouri perché nessuno vorrà segnalare le falle di sicurezza che hanno trovato nei sistemi pubblici se la risposta dello stato invierà le forze dell'ordine a seguirli. Difetti di sicurezza come questo sono estremamente sfortunati, ma inevitabilmente accadranno (il Post-Dispatch riporta che è stato scoperto che il DESE ha archiviato i SSN degli studenti da un audit nel 2015). Sia con gli enti pubblici che con le aziende, il vero test non è se succede, ma come si risponde ad esso. Sfortunatamente, sembra che il governatore Parson stia fallendo il test.
Aggiornato il 14 ottobre, 17:52 ET: Aggiornato per riflettere il commento del DESE.