Charlie Osborne Bidragyder
Charlie Osborne er en cybersikkerhedsjournalist og fotograf, der skriver for ZDNet og CNET fra London.
Fuld bio udgivet i Zero Day den 17. februar 2022 | Emne: Sikkerhed
Staten Missouri vil ikke retsforfølge en journalist, der er stemplet som en “hacker” for at se hjemmesidens kildekode og rapportere et alvorligt sikkerhedslæk.
I oktober 2021 offentliggjorde St. Louis Post-Dispatch-reporter Josh Renaud en historie, der dokumenterer eksponeringen af CPR-numre tilhørende lærere, administratorer og rådgivere forårsaget af sikkerhedsfejl i Missouri Department of Elementary and Secondary Uddannelsens hjemmeside.
Over 100.000 SSN'er blev angiveligt afsløret.
Renaud opdagede problemet i en søgefunktion på webstedet, og det eneste, der skulle til for at finde SSN'er, var at trykke på F12 og se webstedets HTML gennem udviklerkonsollen.
Nyhedsmediet gik ikke videre med historien, før afdelingen fjernede de berørte sider og fjernede søgeværktøjet.
St. Louis Post-Dispatch rapporterede fejlen, der gjorde det muligt for alle med en browser at se disse følsomme data, privat til DESE før offentliggørelsen. Missouris guvernør Mike Parson havde dog et svagt syn på den ansvarlige afsløring.
På Twitter hævdede Parson, at journalisten “tog optegnelser fra mindst tre undervisere, afkodede HTML-kildekoden og så SSN for disse specifikke undervisere.”
Parson sagde:
“Denne sag er alvorlig. Staten forpligter sig til at retsforfølge enhver, der har hacket vores system, og enhver, der har hjulpet eller opfordret dem til at gøre det – i overensstemmelse med hvad Missouri-lovgivningen tillader OG kræver.
En hacker er en person, der får uautoriseret adgang til information eller indhold. Denne person havde ikke tilladelse til at gøre, hvad de gjorde. De havde ingen tilladelse til at konvertere og afkode koden.
Vi vil ikke hvile os, før vi tydeligt forstår denne persons intentioner, og hvorfor de sigtede mod Missouri-lærere.”
Locke Thompson, en anklager i Cole County, har afvist at rejse anklager. I en erklæring i sidste uge (.PDF) takkede Thompson guvernøren for hans bekymringer, og selvom “der er et argument at fremføre for, at der var en lovovertrædelse”, er “spørgsmålene i hjertet af undersøgelsen blevet løst gennem ikke -lovlige midler.”
“Som sådan er det ikke i Cole County-borgernes bedste interesse at bruge de betydelige ressourcer og skatteyderkroner, som ville være nødvendige for at forfølge strafferetlige anklager i denne sag,” sagde anklageren.
Cole Countys anklagemyndighed vil ikke kommentere yderligere på sagen.
Efter truslen om retsforfølgelse blev opløst, sagde Post-Dispatch-udgiver Ian Caso, at “anklagerne mod vores reporter var ubegrundede og lavet for at aflede forlegenhed for statens fiaskoer og til politiske formål.”
Renaud sagde, at beslutningen var en “lettelse”, men “afhjælper ikke den skade, der er påført mig og min familie.”
I et interview med St. Louis on the Air tilføjede journalisten, at guvernøren har forpasset en mulighed for at “ændre den offentlige diskurs” og “for at ændre den måde, politikken udføres på i staten.”
Tidligere og relateret dækning
Missouris guvernør står over for modreaktion og latterliggørelse for at true reporter, der opdagede afslørede lærer-SSN'er
Hvordan det indledende adgangsmæglermarked fører til ransomware-angreb
Squirrelwaffle, Microsoft Exchange Server sårbarheder udnyttet til økonomisk bedrageri
Har du et tip? Kom sikkert i kontakt via WhatsApp | Signal på +447713 025 499 eller over på Keybase: charlie0
Security TV | Datastyring | CXO | Datacentre