Gubernur Missouri mengancam reporter yang menemukan situs negara bagian yang menumpahkan informasi pribadi

0


Gubernur Missouri Mike Parson mengancam tindakan hukum terhadap seorang reporter dan surat kabar yang menemukan dan secara bertanggung jawab mengungkapkan kerentanan keamanan yang membuat nomor jaminan sosial guru dan staf pendidikan terbuka dan mudah diakses.

NS St. Louis Pasca Pengiriman laporan bahwa itu memberi tahu Departemen Pendidikan Dasar dan Menengah (DESE) Missouri bahwa salah satu alatnya mengembalikan halaman HTML yang berisi SSN karyawan, yang berpotensi membahayakan informasi lebih dari 100.000 karyawan. Terlepas dari kenyataan bahwa outlet menunggu sampai alat itu diturunkan oleh negara untuk mempublikasikan ceritanya, reporter tersebut telah disebut sebagai “peretas” oleh Gubernur Parson, yang mengatakan bahwa dia akan melibatkan jaksa wilayah dan penyelidik.

Menurut Pasca-Pengiriman, alat yang berisi kerentanan dirancang agar publik dapat melihat kredensial guru. Namun, dilaporkan juga menyertakan SSN karyawan di halaman yang dikembalikan — meskipun tampaknya tidak muncul sebagai teks yang terlihat di layar, KrebsOnSecurity laporan bahwa mengaksesnya akan semudah mengklik kanan pada halaman dan mengklik Inspect Element atau View Source.

Sementara reporter mengikuti protokol standar untuk mengungkapkan dan melaporkan kerentanan, gubernur memperlakukannya seolah-olah dia menyerang situs atau mencoba mengakses informasi pribadi guru untuk tujuan jahat.

Dalam sebuah konferensi pers, Gubernur Parson menggambarkan tindakan reporter sebagai “decoding kode sumber HTML,” yang membuatnya tampak mencurigakan dan rahasia. Dia, bagaimanapun, secara harfiah menggambarkan bagaimana melihat situs web bekerja — itu tugas server untuk mengirim file HMTL ke komputer Anda sehingga Anda dapat melihatnya, dan apa pun yang termasuk dalam file itu tidak rahasia (bahkan jika itu tidak terlihat secara fisik di komputer Anda). layar saat melihat halaman web itu). Gubernur Parson mengatakan bahwa tidak ada apa pun di situs web DESE yang memberi izin kepada pengguna untuk mengakses data SSN, tetapi disediakan secara gratis.

Anda dapat melihat konferensi pers lengkap gubernur di bawah ini.

The Verge telah menghubungi Missouri DESE untuk mengklarifikasi apakah alat tersebut dapat diakses publik atau diharuskan masuk tetapi tidak segera menerima tanggapan. Tentu saja, itu dapat diakses sama sekali adalah masalah, terlepas dari apakah itu berada di belakang login.

Tanggapan Missouri adalah, untuk membuatnya lebih ringan, kebalikan dari praktik standar. Banyak organisasi memiliki bug atau karunia keamanan bernilai ratusan ribu dolar, yang akan mereka bayarkan kepada peretas yang menemukan dan secara bertanggung jawab mengungkapkan kelemahan seperti ini. Alasan mengapa ini ada adalah karena mereka akan membuat sistem Anda lebih aman — ya, orang akan mencari dan menemukan kerentanan, tetapi kemungkinan besar sudah ada seseorang yang melakukannya. Dengan karunia bug, mereka memberi tahu Anda agar Anda dapat memperbaikinya daripada menjual info itu di web gelap atau menggunakannya untuk keuntungan pribadi. Jelas, jumlah seperti itu tidak masuk akal untuk distrik sekolah, yang sering memiliki departemen TI yang kekurangan dana karena anggaran yang menyusut, tetapi ada banyak pilihan antara membayar sejumlah besar uang dan mengancam tindakan hukum.

Gubernur Parson mengatakan bahwa insiden itu dapat merugikan pembayar pajak negara bagian $50 juta. Jika seorang peretas jahat telah menemukan harta karun SSN, kemungkinan itu akan lebih mahal: negara bagian masih harus memperbaiki sistem, dan akan ada guru yang akan memiliki klaim kuat terhadapnya jika mereka membutuhkannya. layanan perlindungan identitas.

Gubernur Parson (bersama dengan siaran pers oleh Kantor Administrasi) mengklarifikasi bahwa SSN hanya dapat diakses satu per satu — daftar semua info pribadi karyawan tidak disertakan dalam file HTML. Tapi sebagai siapa saja menyaksikan adegan pembukaan Jejaring sosial tahu, mungkin sepele bagi peretas untuk mengunduh semua halaman dari aplikasi dan menghapus informasi tertentu darinya. Hanya karena reporter tidak melakukannya (bisa dibilang tidak bertanggung jawab jika dia melakukannya) tidak berarti bahwa itu tidak mungkin dan tidak berbicara tentang praktik keamanan yang baik.

Untuk lebih jelasnya: menuntut reporter, outlet berita, dan siapa pun yang terlibat hanya akan membuat orang-orang di Missouri dalam bahaya karena tidak ada yang mau melaporkan kelemahan keamanan yang mereka temukan di sistem publik jika tanggapan negara bagian akan mengirimkan penegakan hukum setelahnya. mereka. Kelemahan keamanan seperti ini sangat disayangkan, tetapi itu pasti akan terjadi ( Pasca-Pengiriman melaporkan bahwa DESE ditemukan telah menyimpan SSN siswa melalui audit pada tahun 2015). Dengan entitas publik dan perusahaan sama, ujian sebenarnya bukanlah apakah itu terjadi tetapi bagaimana Anda menanggapinya. Sayangnya, sepertinya Gubernur Parson gagal dalam ujian itu.



Leave A Reply

Your email address will not be published.