Nul
Afbeelding: James Hartshorn
North Yorkshire Politie zei vandaag dat ze het niet nastreven van een strafzaak tegen de onderzoeker die een kwetsbaarheid gevonden in een mobiele app ontwikkeld door het stadsbestuur van York.
Ambtenaren van de stad had gemeld de onderzoeker aan de politie eerder deze maand, maar North Yorkshire Politie zei: “de onderzoeker heeft correct gehandeld.”
Het bestaan van deze aangifte tegen de nog-niet-benoemde onderzoeker aan het licht kwam vorige week York autoriteiten bekendgemaakt een inbreuk op gegevens die van invloed “van Een Planeet York,” een mobiele app ontwikkeld door de stad te helpen met het plannen van de inzameling van afvalstoffen pickups.
In een e-mail gestuurd naar de mobiele app gebruikers York city ambtenaren zei dat een “derde partij” had bekeken en gedownload van gegevens uit de mobiele app van de backend via een kwetsbaarheid in de app van de API (application programming interface).
Ze zei dat de kwetsbaarheid mag de derde-partij is bij het verzamelen van informatie, zoals namen, adressen, postcodes, e-mailadressen, telefoonnummers en gecodeerde wachtwoorden. De app was 5,994 gebruikers, stad autoriteiten gezegd.
Ambtenaren reageerden door stopzetting van de Ene Planeet York app, het nemen van beneden links om te downloaden van de website van de stad, is het verwijderen van de app uit de Play Store, en het adviseren van gebruikers te verwijderen uit hun telefoons.
“Een derde partij, van wie wij geloven is achter de opzettelijke ongeoorloofde toegang, gedeelde een kleine, geredigeerd voorbeeld van de informatie die ze had gewonnen,” zei de ambtenaren van de stad in een FAQ-sectie opgenomen met de breach notification e-mail. “Hun e-mail aangegeven dat ze deze informatie ook te maken ons bewust van het probleem en stellen ons in staat om het aan te pakken.”
“We kunnen niet met zekerheid zeggen wat de derde partij die verantwoordelijk is gedaan met de gegevens,” York ambtenaren toegevoegd. “Ze ons op de hoogte van het beveiligingslek en hebben niet gevraagd iets terug waaruit blijkt ze iemand die zoekt naar gegevens kwetsbaarheden in het publieke belang.”
Toch, ondanks het erkennen dat de persoon die meldde dat het probleem was niet kwaad bedoeld, ambtenaren van de stad meldde de inbraak in de systemen van de politie.
Maar York ambtenaren van de stad kwam onder zware kritiek van de IT-security gemeenschap na vorige week breach notification was weer opgelaaid door prominente infosec expert Troy Hunt, Heb ik Pwned roem.
De meeste mensen waren verontwaardigd dat ambtenaren van de stad waren niet genadig genoeg bedanken de onderzoeker voor hun werk en goede wil, maar in plaats daarvan ingediend bij de politie. Andere security-onderzoekers vergeleken het incident te krijgen sloeg in het gezicht na de terugkeer van een verloren portemonnee van de eigenaar.
Het goede nieuws is dat North Yorkshire Politie is niet het nemen van de York City Council rapport serieus.
“We zijn ons bewust van de York ‘data breach’ maar wees gerust we het niet beschouwen dit incident als crimineel,” zei een North Yorkshire Politie woordvoerder vandaag. “Wij erkennen de voordelen van software kwetsbaarheid openbaarmaking als onderdeel van een gezond security-omgeving en de onderzoeker heeft correct gehandeld.”
Echter, niet alle leden van de security gemeenschap bekritiseerd York city ambtenaren. Katie Moussouris, Oprichter en CEO van Luta Veiligheid, suggereerde dat de ambtenaren van de stad werden waarschijnlijk voor het doen van hun due diligence in het kielzog van een ongeoorloofde indringing test.
Beveiliging onderzoekers worden geacht om toestemming te vragen voor het uitvoeren van opdringerige kwetsbaarheid te testen. Alle professioneel georganiseerd bug bounty en kwetsbaarheid openbaarmaking van programma ‘ s verbieden pen-testers van het downloaden van persoonlijk identificeerbare informatie (PII) (aka gebruikersgegevens) op hun persoonlijke computers als gevolg van de juridische complicaties die voortvloeien uit deze actie. Het is deze juridische complicaties die zich York city ambtenaren zijn het meest waarschijnlijk navigeren, Moussouris voorgesteld.
“We hebben gevraagd [derde partij] veilig verwijderen van alle sporen van de gegevens uit hun systemen,” ambtenaren van de stad zei in het FAQ-gedeelte opgenomen in de breach notification e-mail –enigszins indirect bevestigen Moussouris’ theorie.
Een York City Council officiële reageerde niet op een verzoek om commentaar op dit artikel.
Daarnaast York city ambtenaren waren ook kritiek vandaag voor het indienen van een politie rapport, maar niet melden van de Information Commissioner ‘ s Office, de BRITSE privacy en schending van de beveiliging watchdog. Maar in een e-mail naar ZDNet vandaag, de ICO bevestigd dat York ambtenaren had het incident heeft gemeld, dat wordt nu onderzocht.
Verwante dekking:
GCHQ de laatste startup haalt streven naar small business securityVERZENDING van kritieke infrastructuur nog steeds op risico van de verwoestende cyberaanval
71% van de BRITSE bedrijven in gevaar komt door de gegevens vaardigheden kloof, Ceo ‘ s zeggen TechRepublicDuitsland stelt router security richtlijnen
BRITSE waakhond laat zien hoe de politieke partijen misbruiken Facebook, persoonlijke gegevens CNETduitse eID-kaart systeem kwetsbaar voor online identiteit spoofing
UK gov ‘ t grijpt documenten Facebook wilde houden in Cambridge Analytica strijd
Verwante Onderwerpen:
De overheid VERZENDING
Beveiliging TV
Data Management
CXO
Datacenters
0