C’è qualcosa che è stato bugging me per tutto il giorno.
Mercoledì, ricercatore di sicurezza Justin Shafer ha raggiunto fuori per una manciata di sicurezza ai giornalisti dopo ha scoperto che dello stato del Nevada sito web del governo è stata fuoriuscita di migliaia di applicazioni dal dispensario medico della marijuana programma.
Shafer trovato la perde portale web utilizzando Google per la ricerca di siti web del governo per parole come “sicurezza sociale”, che chiunque può fare con relativa facilità. Ha trovato uno di quelli elencati indirizzo web che termina in un numero, che punta a un file PDF che si presume essere un dispensario medico della marijuana applicazione. Alterare il numero nell’indirizzo web permettere a nessuno di visualizzare le diverse applicazioni.
Il primo report è venuto in.
CSO Online: “Agente di applicazioni per il Nevada programma di marijuana medica esposti”The Daily Dot: “la marijuana Medica portale espone migliaia di numeri di previdenza Sociale”ZDNet: “Nevada perdite di migliaia di dispensario medico della marijuana applicazioni”
Vedere il filo comune? La perdita è stata del Nevada guasto. No sistemi sono stati violati o violato.
Tutto il tempo che abbiamo pubblicato, il sito era stato tolto per “limitare la vulnerabilità”, secondo il portavoce Marta Framsted.
Framsted ha detto in una telefonata di mercoledì che era “consapevole della perdita” dal ricercatore di sicurezza via più giornalisti, compresi quelli da CSO Online e The Daily Dot, e avrebbe rilasciato una dichiarazione nel corso della giornata.
Nella nostra breve conversazione, Framsted ha detto che lo stato È personale aveva tirato il sito offline per evitare che i dati da perdite ulteriori. Non c’è stato un accenno di accusa — chiaramente, questo è un sistema che non funzionava correttamente.
Poi, la notizia ha cominciato a girare da “perdita” e “esposto”, “hacked” e “violato”, più tardi nella giornata.
Che cosa è successo? Nevada dichiarazione ufficiale, ha invertito la sua retorica del tutto e iniziato a dare la colpa della perdita di un “attacco informatico.” La dichiarazione ha detto che l’industria dipendente era stato “rubato”, aggiungendo che l’incidente era stato “di cui alle forze di polizia per ulteriori indagini.”
Inserisci questo tweet.
In un follow-up e-mail, Framsted non direi perché lo stato aveva apparentemente cambiato la sua melodia, nel giro di poche ore.
“Questa è un’indagine in corso e, come abbiamo più dettagli faremo coloro i dettagli disponibili,” ha detto.
Non tutte le rilevazioni dei dati sono gli stessi. Un trucco che può portare a una violazione, ma una perdita non è un hack, né una violazione sempre condurre a una perdita.
Confusa-destra?
Hacking di un computer è un atto illegale, di solito con la strada di accesso non autorizzato. Ma quando i dati sono seduta su internet in modo non protetto, che è una perdita. I due non sono paragonabili, ma NOI hacker di computer di leggi obsolete e vago.
Che confusione che spesso può portare a mal di colpa, e mentre che, sola, può portare a gravi conseguenze, può essere utilizzato anche per passare la mano del tutto.
Quando si chiama una perdita di un “hack” che si chiama la persona che ha trovato la vulnerabilità di un “hacker.” Che immediatamente si appanna ciò che di solito è un atto di buona intenzione, di segnalare un bug, sia per la parte interessata o i media, con un atto illegale.
Ma meglio un bravo ragazzo a trovare il difetto di un cattivo ragazzo. E questo tipo di risposta, da parte dello stato del Nevada è solo un incidente di un elenco di molti che rappresentano una grande domanda per i ricercatori di sicurezza.
Shafer, e di altri che hanno portato le questioni di insicurezza per il loro proprietario occhi, spesso faccia gioco o minacce di azioni legali da persone che stanno cercando di aiutare.
Per inciso, Shafer era stato accusato di “hacking” prima, semplicemente per informare di una società, Eaglesoft, un fornitore di studio dentistico software di gestione, che si era tenuta confidenziale i dati del paziente, mediante archiviazione in un contratto di cartella FTP, disponibile per chiunque con una connessione a internet per vedere. La sua casa è stata perquisita dall’FBI come un risultato. Ma, ovviamente, nessuna accusa è stata depositata sulla questione.
Viene da chiedersi perché i ricercatori di sicurezza che nemmeno la briga.
Per il bug finders, è il loro dovere, di responsabilità, e spesso-come abbiamo visto in questo caso-ed è anche un rischio professionale. Ma ogni volta che c’è pushback derivanti da buone intenzioni, è solo andando a scoraggiare i ricercatori di svolgere il loro buon lavoro.
Che lascia campo aperto per gli altri penale varietà di trovare i difetti, invece. E tutti sappiamo che non andrà giù bene.
ZDNET INDAGINI
All’interno del terrore globale incagli che segretamente ombre milioni
Al confine con gli stati UNITI, si aspettano di discriminazione, di detenzione, di ricerche, di interrogazione e di
Un database non protetto foglie di off-the-grid energy clienti esposti
Soddisfare le oscure tech broker che forniscono i dati alla NSA
Governo USA ha spinto le ditte di tecnologia a portata di mano il codice sorgente
Più “mega violazioni” a venire, come il rivale hacker vie per le vendite
Ha rivelato: Come si Amazon Kindle truffa fatto milioni di dollari
Questi studenti erano dietro BBC, Trump attacchi informatici