Es gibt etwas, das ist schon nervt mich den ganzen Tag.
Am Mittwoch der Sicherheitsforscher Justin Shafer Griff, um eine Handvoll von Sicherheits-Reporter, nachdem er festgestellt, dass Nevada state government ‘ s website war undicht Tausende von Anwendungen aus dem medizinischen Marihuana Apotheke Programm.
Shafer fand die undichte web-portal mit Google-Suche, Regierungs-Webseiten nach Wörtern wie “social security”, die jeder machen kann mit relativer Leichtigkeit. Er fand aufgeführten web-Adresse, ending in einer Reihe, die Spitzen in eine PDF-Datei, die angeblich ein medizinisches Marihuana-Ambulatorium Anwendung. Ändern Sie die Zahl in der web-Adresse, wenn jemand verschiedene Anwendungen.
Die ersten Berichte kamen.
CSO-Online: “Agent-Anwendungen für Nevada medical marijuana program ausgesetzt”The Daily Dot: “die Medizinische Marihuana-portal stellt Tausende von Sozialversicherungsnummern von”ZDNet: “Nevada Lecks Tausende von medizinischen Marihuana-Apotheke-Anwendungen”
Finden Sie den roten Faden? Das Leck war Nevada die Schuld. Keine Systeme gehackt wurden oder verletzt.
Um die Zeit, die wir veröffentlicht, in die Website aufgenommen worden waren, bis zu ” – Grenze die Sicherheitsanfälligkeit,” laut Sprecher Martha Framsted.
Framsted sagte in einem Telefongespräch am Mittwoch, dass es “bewusst das Leck” aus der security-Forscher, die über mehrere Reporter, darunter jene von CSO Online und Die Tägliche Dot, und würde die Veröffentlichung einer Aussage später in den Tag.
In unserem kurzen Gespräch, Framsted sagte, dass der Staat die IT-Mitarbeiter hatte, zog die website offline, um zu verhindern, dass die Daten aus undichten weiter. Es war nicht ein Hauch von Vorwurf — klar, das war ein system, das nicht richtig funktioniert.
Dann, Schlagzeilen, begann sich zu drehen, von “Leck” und “exposed”, “gehackt” und “verletzt” später in den Tag.
Was ist passiert? Nevada die offizielle Aussage Umgekehrt seine Rhetorik ganz und begann, die Schuld für die Undichtigkeit auf eine “cyberattack.” Das statement sagte, dass die Industrie Informationen über die Mitarbeiter “gestohlen hatte, und fügte hinzu, dass der Vorfall war “bezeichnet, um die Strafverfolgungsbehörden zur weiteren Untersuchung.”
Geben Sie diesen tweet.
In einer follow-up-E-Mail, Framsted würde nicht sagen, warum der Staat hatte sich scheinbar verändert seine Melodie in der Angelegenheit von ein paar Stunden.
“Dies ist eine laufende Untersuchung, und da haben wir mehr details, wir machen die details zur Verfügung, um Sie,” sagte Sie.
Nicht alle Angaben von Daten sind die gleichen. Ein hack kann zu einer Verletzung, aber ein Leck ist das nicht ein hack, noch ein Verletzung führen stets zu einem Leck.
Verwirrend-richtig?
Hacken eines Computers ist eine illegale Handlung, in der Regel durch unerlaubten Zugriff. Aber wenn die Daten sitzen auf dem internet in einer ungeschützten Art und Weise, das ist ein Leck. Die beiden sind nicht vergleichbar, aber UNS computer-hacking-Gesetze sind veraltet und ungenau.
Diese Verwirrung kann oft dazu führen, verlegt die Schuld, und zwar das allein kann zu schwerwiegenden Folgen führen, es kann auch verwendet werden, um die Schuld zuschieben, völlig.
Wenn Sie anrufen, ein Leck ein “hack”, die Sie aufrufen die person, die die Sicherheitsanfälligkeit, die ein “hacker”. Sofort trübt, was in der Regel ein handeln in guter Absicht — Fehler melden, entweder der betroffene oder die Medien sind-mit einer illegalen Handlung.
Aber besser ein guter Kerl Suche nach dem Fehler als einen schlechten Kerl. Und diese Art von Antwort, die durch die Nevada state ist nur ein Vorfall in einer Liste von vielen, dass die pose eine größere Frage für Sicherheitsexperten.
Shafer, und andere, haben Fragen der Unsicherheit an den Besitzer der Augen, die oft vor backlash oder juristischen Drohungen aus der sehr Menschen, die Sie versuchen zu helfen.
Übrigens, Shafer war beschuldigt worden, “hacking” vor, einfach für die Unterrichtung eines Unternehmens, Eaglesoft, ein Anbieter von Zahnarztpraxis-management-software, dass es undichte vertrauliche Patientendaten durch speichern in einem ungesicherten FTP-Ordner, verfügbar für jedermann mit einem internet-Verbindung zu sehen. Sein Haus war eine Razzia durch das FBI als Ergebnis. Aber, wenig überraschend, keine Gebühren eingereicht worden, über das Thema.
Es macht Sie Frage mich, warum die security-Forscher sogar zu stören.
Für bug Finder, es ist Ihre Pflicht, Verantwortung, und oft-wie wir gesehen haben-in diesem Fall-auch ein Berufsrisiko. Aber jedes mal gibt es Verzögerungen, die sich aus guten Absichten, es geht nur um Abschreckung der Forscher zu tun, Ihre gute Arbeit.
Das lässt offen, Feld für andere von der kriminellen Sorte zu finden, die die Mängel statt. Und wir alle wissen, die nicht gehen gut.
ZDNET UNTERSUCHUNGEN
In der globalen terror-watchlist, die heimlich Millionen Schatten
An der US-Grenze entfernt, erwarten, Diskriminierung, Haft, Durchsuchungen und Vernehmungen
Eine ungesicherte Datenbank verlässt off-the-grid-Energie-Kunden ausgesetzt
Treffen die düsteren tech-Broker liefern Sie Ihre Daten an die NSA
US-Regierung geschoben tech-Unternehmen zu übergeben source code
Mehr “mega-Verstößen” zu kommen, als rivalisierende Hacker vie für den Vertrieb
Offenbart: Wie ein Amazon Kindle Betrug Millionen von Dollar
Diese Studenten waren hinter BBC, Trump Cyberattacken