Губернаторът на Мисури се сблъсква с реакция и подигравки за заплахите на репортер, който е открил разкрити учителски SSN

Сподели
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Губернаторът на Мисури Майк Парсън е изправен пред критики от технолози и журналисти, след като е издал а язвително, технологично неточно изявление, заплашващо с арест репортер, за да открие, че номерата на социално осигуряване на учители, администратори и съветници в Мисури са уязвими за публично излагане поради пропуски в уебсайт, поддържан от държавния департамент за начално и средно образование.

Репортерът от Сейнт Луис след изпращане Джош Рено написа история в четвъртък което показва, че вестникът е открил проблеми с уеб приложение, което позволява на всеки да търси в база данни със сертификати и пълномощия, принадлежащи на повече от 100 000 от учителите на щата. Данните за плащанията и номерата на социалното осигуряване също бяха уязвими поради проблема.

Вестникът се свърза с отдела и страниците бяха премахнати. Всичко това беше направено преди публикуването на историята, за да се даде време на държавата да отстрани уязвимостта. Вестникът също въздържа публикуването на историята, за да позволи на други държавни агенции да отстранят подобни уязвимости в други уеб приложения.

Държавните служители казаха, че са разследваха колко дълго са изложени данните. Но по -късно през деня, Парсън проведе пресконференция където той удря Рено и вестника, заплашвайки със съдебни действия за решението им да уведомят държавата по въпроса.

След това той удвои заплахите нишка в Twitter това предизвика широко насмешка и възмущение от технологичните експерти, които се усъмниха дали губернаторът и екипът му наистина разбират какво обсъждат.

Парсън твърди, че „индивид е взел записите на поне трима преподаватели, декодирал HTML изходния код и е прегледал SSN на тези конкретни преподаватели“.

Той каза, че кабинетът му е уведомил прокурора на окръг Коул и отдела за цифрова съдебна експертиза на магистралата и им е наредил да разследват случилото се.

“След като получи това известие, DESE незабавно се свърза с Службата за администрация на Мисури ITSD, която програмира и поддържа уеб приложението, за да премахне публичния достъп до портала и да актуализира кода. Този въпрос е сериозен”, пише Парсън.

“Държавата се ангажира да изправи пред правосъдието всеки, който е хакнал нашата система, и всеки, който е помогнал или ги насърчил да го направят – в съответствие с това, което законът на Мисури позволява И изисква. Хакер е някой, който получава неоторизиран достъп до информация или съдържание. Това Индивидът нямаше разрешение да прави това, което направи. Те нямаха разрешение да конвертират и декодират кода. ”

Парсън продължи да казва, че Рено е извършил престъпление, защото е престъпление „да има достъп, да взема и изследва лична информация без разрешение“.

“Тези данни не бяха свободно достъпни и трябваше да бъдат преобразувани и декодирани. Държавата не приема леко този въпрос и ние работим за укрепване на нашата сигурност, за да предотвратим повторението на този инцидент”, каза Парсън.

“Държавата притежава своята част и ние се занимаваме с области, в които трябва да се справим по -добре, отколкото сме правили досега. Няма да почиваме, докато не разберем ясно намеренията на този индивид и защо те са били насочени към учителите в Мисури.”

Други местни новини отбеляза, че Парсън отдавна изразява дълбока омраза към основните новини на държавата заради тяхното отразяване на справянето му с кризата COVID-19 и склонност към раздаване на договори без наддаване.

Дори членове на собствената партия на Парсън го критикуваха за изявленията му, с републиканския представител Тони Ловаско писане в Twitter че беше „ясно, че кабинетът на губернатора има фундаментално неразбиране както на уеб технологиите, така и на стандартните в индустрията процедури за докладване на уязвимости в сигурността.

„Журналистите, които отговорно да алармират за поверителността на данните, не са престъпни хакерства“, каза Ловаско.

Сейнт Луис след изпращането защити Рено в изявление и заяви, че е постъпил правилно, като е докладвал констатациите си на DESE, преди те да могат да бъдат използвани.

“За DESE да отклони грешките си, като го нарече” хакерство “е неоснователно”, казва адвокатът на вестника Джоузеф Мартино в изявление, предоставено за историята на Рено.

Губернатор Парсън

Изявленията на губернатора бяха напълно смазани от експерти, които отбелязаха, че това, което Рено направи, е толкова просто, колкото натискането на клавиша F12 на определени устройства.

Главният технически директор на BreachQuest Джейк Уилямс каза пред ZDNet, че организациите трябва да внимават да не стрелят по пратеника, когато се разкрият уязвимости в сигурността.

“Това със сигурност не е хакерство в никакъв смисъл на думата. Изглежда, че репортерът е използвал публично достъпно уеб приложение, предназначено да улесни търсенето на сертификати за учители. Когато резултатите бяха показани, репортерът просто прегледа изходния код на уеб страницата и намери номера на социалното осигуряване “, каза Уилямс.

“Докато губернаторът Парсън каза, че репортерът” декодира изходния код на HTML “в действителност, те просто използваха функцията, вградена във всеки уеб браузър от зората на интернет. Тъй като HTTP е без гражданство, много уеб приложения съхраняват статуса си в скрити полета за формуляри, така че те може да се предава от браузъра обратно на сървъра при всяко искане. Изглежда вероятно тези полета със скрита форма да включват номера на социалното осигуряване на учителя. Въпросът дали това е престъпление може да е по -черно -бял, ако репортерът беше изброил всички записи, преди да съобщите за проблема. ”

Уилямс отбеляза, че дори споменаването на Парсън само за три записани записи изглежда противоречи на всяко злонамерено намерение.

Той добави, че вместо да се фокусира върху това така наречено хакерство, Parson трябва да се тревожи за сигурността на държавните приложения, особено тези, които са достъпни за обществено ползване. Историята на Рено отбелязва, че държавата по -рано се е сблъсквала с критики за своите практики за събиране на данни.

“Откриването на такъв пропуск през 2021 г. трябва да бъде честно казано неудобно за държавата. Това няма да е първият път, когато политик стреля по всички цилиндри, твърдейки, че достъпът до публично достъпна информация е хакерство”, каза Уилямс.

„Заплашването на репортер със съдебни действия почти винаги е лоша идея и обикновено създава непредвиден ефект на Streisand.“

Техническият директор на Vectra Тим Уейд каза, че ситуацията подчертава необходимостта от защита на изследователите по сигурността, работещи в обществено благо, и негативната реакция, с която те обикновено се сблъскват при откриване на уязвимости.

Възмущението, насочено към тези, които откриват загуба на данни и уязвимости, трябва да бъде пренасочено към първопричините, поради които тези провали в сигурността продължават да се случват в ущърб на личната безопасност, добави Уейд.

Той отбеляза, че повечето съдилища признават ограниченията за защита от незаконно търсене, когато дейностите се случват ясно в публичен контекст, и обяснява, че е трудно да си представим, че нискотехнологичната сложност на описаното поведение, с инструмент, толкова често срещан като уеб браузър, представлява нещо но цифровият еквивалент на наблюдения, направени в публичен контекст.

Джон Бамбенек, ловец на главни заплахи в Netenrich, каза, че правителствените лидери трябва да благодарят на хората, които уведомяват правителството си за проблеми, а не да ги заплашват.

„През цялата човешка история императорите са отговаряли на онези, които са им казвали, че не носят дрехи, като се разгневяват нахалството на дързостта на онези, които биха се осмелили да кажат такова нещо“, каза Бамбенек.

“Животът би бил по -добър, ако те, знаете ли, просто си облечеха панталони. Сигурен съм, че всеки действителен престъпник хакер на планетата е забелязал тази тирада и можете да се обзаложите, че съответно ще коригират насочването си.”



Публикациите се превеждат автоматично с google translate

Източник: www.zdnet.com


Сподели
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •