Det är något som har varit buggning mig hela dagen.
På onsdag, säkerhet forskare Justin Shafer nådde ut till en handfull av säkerhet reportrar efter att han funnit att Nevada state regeringens hemsida var läcker tusentals ansökningar från medicinsk marijuana apotek programmet.
Shafer hittade den läckande webbportal genom att använda Google för att söka på offentliga webbplatser för ord som “social trygghet”, som vem som helst kan göra med relativ lätthet. Att han alltid finns ett listade webbadress som slutar i ett nummer, vilket pekade på en PDF-fil som påstås vara en medicinsk marijuana apotek ansökan. Ändra antalet i webbadressen låt vem som helst kan visa olika program.
De första rapporterna kom in.
CSO på Nätet: “Agent program för Nevada’ s medicinsk marijuana program utsatta”The Daily Dot: “Medicinsk marijuana portal utsätter tusentals personnummer”ZDNet: “Nevada läcker tusentals av medicinsk marijuana apotek applikationer”
Se den röda tråden? Att läsa mellan raderna, och läckan var Nevada fel. Inget system var hackad eller brutit mot.
Ungefär samtidigt publicerade vi den, den platsen hade tagits ner för att “begränsa sårbarhet”, enligt talespersonen Martha Framsted.
Framsted sade i ett samtal på onsdagen att det var “medveten om läckage” från säkerhetsforskare via flera reportrar, inklusive de från CSO Online och The Daily Dot, och skulle släppa ett uttalande senare under dagen.
Under vår korta konversation, de sa att staten är DET personalen hade dragit webbplatsen offline för att förhindra att data läcker ut ytterligare. Det fanns inte en antydan till anklagelsen — det är tydligt att detta var ett system som inte fungerar korrekt.
Sedan, rubriker började vända från “läcka” och “utsatta”, att “hacka” och “brutit” senare i dag.
Vad hände? Nevada: s officiella uttalande vände sin retorik helt och började skylla på läckage på en “cyberattack.” Uttalandet sade att branschen information om den anställde hade blivit “stulna”, och tillade att händelsen hade varit “som avses brottsbekämpande organ för vidare utredning.”
Ange denna tweet.
I en uppföljande e, Framsted skulle inte säga varför staten hade till synes bytt fot i frågan om ett par timmar.
“Detta är en pågående utredning, och när vi har mer information kommer vi att göra dessa uppgifter tillgängliga för dig,” sade hon.
Men det är klart, det är tillräckligt för att kalla detta ett “hack” för över en exponering eller läckage av data.
Inte alla utlämnanden av data är densamma. Ett hack kan leda till en överträdelse, men en läcka är inte ett hack, inte heller ett brott alltid leda till en läcka.
Förvirrande — rätt?
Hacka en dator är en olaglig handling, vanligtvis genom obehörig åtkomst. Men när data är att sitta på internet på ett oskyddat sätt, det är en läcka. De två är inte jämförbara, men för OSS dataintrång lagar är föråldrade och vaga, men har ännu inte prövats i domstol.
Men den förvirring som ofta kan leda till missriktade klander, och även om det i sig kan leda till allvarliga konsekvenser, det kan också användas för att vältra över ansvaret helt.
När du ringer en läcka som ett “hack” du ringer till den person som hittade den sårbarhet som en “hacker”. Att omedelbart befläckar vad är vanligtvis en akt av goda avsikter — privat rapporterar en bugg antingen att den berörda parten eller media — med en olaglig handling.
Men bättre en bra kille att hitta fel än en dålig kille. Och denna typ av svar från Nevada state är bara en händelse i en lista över många att utgöra en större fråga för säkerhet forskare.
Shafer, och andra som har väckt frågor om otrygghet för att deras ägare ögon, ofta drabbas av bakslag eller hot om rättsliga åtgärder från de människor de försöker hjälpa.
För övrigt, Shafer hade anklagats för att “hacka” tidigare, helt enkelt för att informera företag, Eaglesoft, en leverantör av tandvård programvara, att det var en läcka sekretessbelagda patientdata genom att förvara det i ett oskyddat FTP-mapp, tillgängliga för vem som helst med en internet-anslutning för att se. Hans hus var räd av FBI som följd. Men, föga förvånande, inga avgifter har varit över frågan.
Det gör att man undrar varför de ens bry sig?
För bugg finders, det är deras plikt, ansvar, och ofta-som vi har sett i det här fallet — också en arbetssjukdom fara. Men varje gång det finns stift som härrör från goda avsikter, det är bara att avskräcka forskare från att göra sitt goda arbete.
Det lämnar öppet fält för andra kriminella mängd för att hitta brister i stället. Och vi vet alla att det inte kommer att gå bra.
ZDNET UTREDNINGAR
Inne i den globala terror bevakningslista som i hemlighet skuggor miljoner
Vid den AMERIKANSKA gränsen, förväntar diskriminering, frihetsberövande, husrannsakan och förhör
Ett lån utan säkerhet databas lämnar off-the-grid energi utsatta kunder
Möta den mörka tech mäklare att leverera dina data till NSA
AMERIKANSKA regeringen drivit tech företag att lämna över källkoden
Mer “mega brott” för att komma, som rival hackare vie för försäljning
Avslöjat: Hur en Amazon Kindle bluff gjort miljontals dollar
Dessa studenter var bakom BBC, Trump it-angrepp