Der er noget, der er blevet aflytning mig hele dagen.
Onsdag, sikkerhedsekspert Justin Shafer nået ud til en håndfuld af sikkerhed journalister efter han fandt, at Nevada state government ‘ s hjemmeside var utæt tusindvis af applikationer fra sin medicinsk marihuana apotek program.
Shafer fandt den utæt web-portal ved at bruge Google til at søge offentlige hjemmesider for ord som “social security”, som alle kan gøre med relativ lethed. Han fandt en, der er anført web-adresse, der ender i et antal, der påpegede en PDF-fil, der påstås at være en medicinsk marihuana apotek program. Ændre antallet i den web-adresse lade nogen se forskellige programmer.
De første rapporter kom i.
CSO Online: “Agent applikationer til Nevada’ s medicinsk marihuana program udsat for”The Daily Dot: “Medicinsk marihuana portal udsætter tusindvis af Social Security-numre”ZDNet: “Nevada utætheder tusindvis af medicinsk marihuana apotek applikationer”
Se den røde tråd? Lækagen var Nevada ‘ s skyld. Ingen systemer er blevet hacket, eller overtrådt.
Omkring den tid, vi udgav, var stedet blevet taget ned, for at “begrænse sårbarheden,” ifølge talsmanden Martha Framsted.
Framsted sagt i en telefonsamtale onsdag, at det var “klar over lækagen” fra sikkerhedsekspert via flere journalister, herunder dem fra CSO Online og Den Daglige Prik, og ville frigive en erklæring senere i dag.
I vores korte samtale, Framsted sagde, at statens IT-medarbejdere havde trukket den hjemmeside offline for at forhindre, at data fra utætte yderligere. Der var ikke en antydning af beskyldning — klart, at dette var et system, der ikke fungerer korrekt.
Derefter overskrifter, der begyndte at vende sig fra “lække” og “udsat” for, at “hacket” og “brudt” senere i dag.
Hvad skete der? Nevada ‘ s officielle erklæring vendt sin retorik helt og begyndte at skyde skylden på den læk på en “cyberangreb.” Erklæringen sagde, at industrien medarbejder var blevet “stjålet,” tilføjer, at hændelsen var blevet “henvist til retshåndhævende myndigheder for yderligere undersøgelser.”
Indtast denne tweet.
I en opfølgende e-mail, Framsted ville ikke sige, hvorfor staten havde tilsyneladende ændret sin melodi i løbet af et par timer.
“Dette er en igangværende undersøgelse, og når vi har flere oplysninger, vil vi gøre disse oplysninger tilgængelige for dig,” sagde hun.
Ikke alle oplysninger, data er de samme. Et hack, kan føre til et brud, men en lækage er ikke et hack, og heller ikke en overtrædelse altid føre til en utæthed.
Forvirrende — ret?
At hacke en computer, er en ulovlig handling, som regel i form af uautoriseret adgang. Men, når data, som sidder på internettet i en ubeskyttet måde, at der er en utæthed. De to er ikke sammenlignelige, men OS, computer-hacking lovgivning er forældet og vage.
Denne forvirring kan ofte føre til malplacerede skylden, og mens det alene kan føre til alvorlige konsekvenser, det kan også bruges til at sende sorteper videre helt.
Når du ringer til en lækage et “hack” du ringer til den person, der har fundet den svaghed, en “hacker.” Umiddelbart skæmmer, hvad der er normalt en handling af god hensigt — rapporterer en fejl, enten til den berørte part, eller medierne — med en ulovlig handling.
Men bedre en god fyr at finde den fejl, end en dårlig fyr. Og denne form for reaktion fra Nevada state er bare en hændelse i en liste af mange at udgøre en større spørgsmål for sikkerhed forskere.
Shafer, og andre, som har ført sager af usikkerhed til deres ejerens øjne, der ofte står modreaktion eller juridiske trusler fra netop de mennesker, de prøver at hjælpe.
I øvrigt, Shafer var blevet anklaget for “hacking” før, blot for at informere en virksomhed, Eaglesoft, en udbyder af dental praksis management software, at det var lækker fortrolige patientoplysninger ved at gemme det i en ikke-sikret FTP-mappe, der er tilgængelig for alle med en internet-forbindelse til at se. Hans hus blev stormet af FBI som et resultat. Men, ikke overraskende, ingen gebyrer har været gemt i sagen.
Det gør du spekulerer på, hvorfor sikkerhed forskere selv gider.
For fejl finderne, at det er deres pligt, ansvar, og ofte-som vi har set i dette tilfælde-også en erhvervsmæssig risiko. Men hver gang der er pushback, der stammer fra gode hensigter, det er kun kommer til at afholde forskere fra at gøre deres gode arbejde.
Det efterlader feltet åben for andre af de kriminelle udvalg til at finde fejl i stedet for. Og vi ved alle, at det vil ikke gå godt.
ZDNET UNDERSØGELSER
Inde i den globale terror-overvågningsliste, der hemmeligt skygger millioner
Ved den AMERIKANSKE grænse, forventer diskrimination, fængsling, ransagning, og forhør
En usikrede database blade off-the-grid energi udsat kunder
Mød den dunkle tech mæglere at levere dine data til NSA
Den AMERIKANSKE regering skubbet tech firmaer, til at udlevere kildekoden
Mere “mega brud” til at komme, som rival hackere vie til salg
Afsløret: Sådan en Amazon Kindle fidus gjort millioner af dollars
Disse college-studerende, der stod bag BBC, Trump cyberangreb