Zero
Immagine: James Hartshorn
North Yorkshire Police ha detto oggi di non perseguire un procedimento penale contro il ricercatore che ha trovato una vulnerabilità in una mobile app sviluppata dall’York city council.
I funzionari della città, aveva riferito il ricercatore di polizia all’inizio di questo mese, ma North Yorkshire Police ha detto che “il ricercatore ha agito correttamente.”
L’esistenza di questo rapporto di polizia contro l’ancora-per-essere-nominato ricercatore, è venuta alla luce la scorsa settimana, quando York autorità divulgato una violazione dei dati che interessano “Un Pianeta York,” una mobile app sviluppata dalla città per aiutare con la pianificazione di raccolta rifiuti pickup.
In un messaggio inviato per l’app mobile gli utenti, York, i funzionari della città ha detto “di terze parti” aveva accedere e scaricare i dati dalla sua app mobile backend tramite una vulnerabilità nell’applicazione di API (application programming interface).
Hanno detto che la vulnerabilità permesso di terzi, per raccogliere informazioni come nomi, indirizzi, codici di avviamento postale indirizzi e-mail, numeri di telefono e password criptate. L’applicazione era 5,994 gli utenti, le autorità della città, ha detto.
I funzionari hanno reagito con l’interruzione dell’intero Pianeta York app, tenendo premuto link per il download dal sito web della città, di rimuovere l’app dal Play Store, e di consulenza per gli utenti di rimuovere dai loro telefoni.
“Un terzo, che crediamo era dietro la deliberata l’accesso non autorizzato, ha condiviso un piccolo, redatta esempio delle informazioni che aveva estratto,” ha detto i funzionari della città in una sezione FAQ inclusa la violazione di notifica e-mail. “La loro e-mail ha dichiarato di aver fornito queste informazioni a renderci consapevoli del problema e che ci permettono di indirizzo”.
“Non si può dire per certo che il terzo responsabile ha fatto con i dati”, York, i funzionari aggiunto. “Hanno comunicato la vulnerabilità e non hanno chiesto nulla in cambio, che suggerisce che essi sono uno che cerca i dati di vulnerabilità nel pubblico interesse”.
Tuttavia, pur ammettendo che la persona che ha segnalato il problema di non avere intenti maligni, i funzionari della città ha segnalato l’intrusione nei suoi sistemi di polizia.
Ma York funzionari della città passò sotto pesanti critiche oggi la comunità di sicurezza dopo l’ultima settimana di notifica di violazione è stato riasfaltato da importanti infosec opinionista Troy Caccia, Sono Stato Pwned fame.
La maggior parte delle persone si sono indignati che i funzionari della città non erano così gentile da ringraziare, per il ricercatore, per il loro lavoro e la buona volontà, ma invece presentato un rapporto di polizia. Altri ricercatori di sicurezza paragonato l’incidente di ricevere un pugno in faccia dopo la restituzione di un wallet perso il suo proprietario.
La buona notizia è che il Nord Yorkshire Police sta prendendo la York City Council report sul serio.
“Siamo consapevoli di York ‘violazione di dati”, ma si prega di essere rassicurato noi non riteniamo che questo incidente come criminali”, ha detto un North Yorkshire Police oggi il portavoce. “Siamo in grado di riconoscere i benefici di software di divulgazione delle vulnerabilità come parte di un sano ambiente di sicurezza e il ricercatore ha agito correttamente.”
Tuttavia, non tutti i membri della comunità di sicurezza criticato York funzionari della città. Katie Moussouris, Fondatore e CEO di Luta di Sicurezza, ha suggerito che i funzionari della città sono stati più propensi a fare la loro due diligence, a seguito di una penetrazione non autorizzata di prova.
I ricercatori di sicurezza sono tenuti a chiedere il permesso prima di eseguire invadente test di vulnerabilità. Tutti professionalmente organizzata bug bounty e di divulgazione delle vulnerabilità dei programmi di vietare pen-tester il download di informazioni di identificazione personale (PII) (aka dati utente) sul proprio personal computer a causa di complicazioni legali che derivano da questa azione. Queste complicazioni legali che York i funzionari della città sono più probabilità di navigazione, Moussouris suggerito.
“Abbiamo chiesto [terza parte] in modo sicuro elimina tutte le tracce di dati dai loro sistemi,” i funzionari della città ha detto, nella sezione FAQ inclusa la violazione di notifica e-mail-un po ‘indiretta conferma Moussouris’ di teoria.
Una York City Council ufficiale non ha risposto a una richiesta di commento per questo articolo.
Inoltre, York funzionari della città sono stati anche criticato oggi per la presentazione di un rapporto della polizia, ma non notifica le Informazioni dell’Ufficio del Commissario, il regno UNITO, la privacy e i dati di violazione di watchdog. Ma in una e-mail a ZDNet oggi, l’ICO ha confermato che York, i funzionari avevano segnalato l’incidente, che è ora sotto inchiesta.
Relativi copertura:
Il GCHQ ultima avvio sceglie di mira small business securityUK infrastrutture critiche ancora a rischio dal devastante attacco informatico
Il 71% per le imprese del regno UNITO a rischio a causa di dati gap di competenze, Ceo dire TechRepublicGermania propone router linee guida per la sicurezza
Regno UNITO watchdog mostra come i partiti politici sfruttare Facebook, i dati personali CNETtedesco eID scheda di sistema vulnerabile per l’identità online di spoofing
UK gov non coglie documenti Facebook voluto mantenere privato a Cambridge Analytica battaglia
Argomenti Correlati:
Governo del regno UNITO
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0