Губернатор штата Миссури обещает преследовать St. Louis Post-Dispatch за сообщение об уязвимости системы безопасности

В среду газета St. Louis Post-Dispatch опубликовала статью о том, как ее сотрудники обнаружили и сообщили об уязвимости в системе безопасности образовательного сайта штата Миссури, в результате чего стали известны номера социального страхования 100 000 учителей начальной и средней школы. На пресс-конференции сегодня утром губернатор Миссури Майк Парсон (R) заявил, что устранение недостатка может стоить штату 50 миллионов долларов, и поклялся, что его администрация будет добиваться преследования и расследования “хакеров” и всех, кто помогал изданию в его “попытке опозорить штат и продать заголовки для своего новостного издания”.

Губернатор штата Миссури Майк Парсон (Р), поклялся привлечь к ответственности газету “Сент-Луис пост-диспэтч” за сообщение об уязвимости системы безопасности, которая раскрыла SSN учителей.

Post-Dispatch сообщает, что обнаружил уязвимость в веб-приложении, которое позволяло публике искать сертификаты и дипломы учителей, и что более 100 000 SSN были доступны. Как сообщается, Департамент начального и среднего образования штата Миссури (DESE) удалил затронутые страницы со своего сайта во вторник после того, как издание получило уведомление о проблеме (до публикации статьи об уязвимости).

Газета сообщила, что обнаружила, что номера социального страхования учителей содержались в исходном коде HTML соответствующих страниц. Другими словами, информация была доступна любому пользователю веб-браузера, который случайно изучил открытый код сайта, используя Developer Tools или просто щелкнув правой кнопкой мыши на странице и просмотрев исходный код.

Газета Post-Dispatch сообщила, что не сразу стало ясно, как долго номера социального страхования и другая конфиденциальная информация были уязвимы на сайте DESE, и не было известно, воспользовался ли кто-нибудь этим недостатком.

Но на пресс-конференции в четверг утром губернатор Парсон заявил, что будет добиваться судебного преследования и расследования в отношении репортера и крупнейшей газеты региона за “незаконный” доступ к данным учителей.

“Эта администрация противостоит всем преступникам, которые пытаются украсть личную информацию и навредить жителям штата Миссури”, – сказал Парсон. “Доступ к закодированным данным и системам с целью изучения личной информации других людей является незаконным. Мы координируем ресурсы штата для реагирования и используем все доступные законные методы. Моя администрация уведомила прокурора округа Коул об этом деле, подразделение цифровой криминалистики Дорожного патруля штата Миссури также проведет расследование в отношении всех вовлеченных лиц. Только один этот инцидент может стоить налогоплательщикам Миссури до 50 миллионов долларов”.

Угрожая преследовать репортеров по всей строгости закона, Парсон попытался преуменьшить серьезность недостатка в системе безопасности, заявив, что репортер раскрыл только три номера социального страхования, и что “не было возможности расшифровать номера социального страхования всех педагогов в системе сразу”.

“Штат намерен привлечь к ответственности всех, кто взломал наши системы, или тех, кто помогал им это сделать, – продолжил Парсон, – Хакер – это тот, кто получает несанкционированный доступ к информации или контенту. У этого человека не было разрешения на то, что он сделал. У них не было разрешения на конвертацию или декодирование, так что это явно был взлом”

Парсон сказал, что человек, сообщивший о слабом месте, “действовал против государственного учреждения, чтобы скомпрометировать личную информацию учителей в попытке опозорить штат и продать заголовки для своего новостного издания”.

“Мы не оставим это преступление против учителей Миссури безнаказанным и не позволим им стать пешками в политической вендетте новостного издания”, – сказал Парсон, – “Мы не только привлечем к ответственности этого человека, но и всех тех, кто помогал этому человеку и медиакорпорации, в которой он работает”.

В заявлении, предоставленном KrebsOnSecurity, адвокат газеты St. Louis Post-Dispatch сказал, что журналист поступил ответственно, сообщив о своих выводах в DESE, чтобы штат мог принять меры по предотвращению разглашения и злоупотреблений.

“Хакер – это тот, кто нарушает безопасность компьютера со злым или преступным умыслом”, – сказал адвокат Джо Мартино, – “В данном случае не было никакого нарушения брандмауэра или системы безопасности и, конечно же, никакого злого умысла. То, что DESE пытается скрыть свои промахи, называя это “хакерством”, не имеет под собой никаких оснований. К счастью, эти промахи были обнаружены”.

Аарон Маки – старший штатный юрист Electronic Frontier Foundation (EFF), некоммерческой группы по защите цифровых прав, базирующейся в Сан-Франциско. Мэки назвал реакцию губернатора “мстительной, ответной и невероятно недальновидной”.

Маки отметил, что Post-Dispatch все сделала правильно, даже придержала свою статью до тех пор, пока штат не устранил уязвимость. Он сказал, что губернатор также нападает на СМИ, которые играют важную роль, помогая высказаться (и часто анонимно) исследователям безопасности, которые в противном случае могли бы молчать под угрозой потенциального уголовного преследования за сообщение о своих результатах непосредственно уязвимой организации.

“Опасно и неправильно преследовать человека, который вел себя этично и ответственно не только в смысле раскрытия информации, но и в журналистском смысле”, – сказал он. “Общественность имела право знать о халатности правительства в создании безопасных систем и устранении известных уязвимостей”.

По словам Мэкки, реакция губернатора Парсона на этот инцидент прискорбна еще и потому, что она почти наверняка заставит задуматься тех, кто в противном случае мог бы найти и сообщить об уязвимостях в системе безопасности государственных сайтов, которые без необходимости раскрывают конфиденциальную информацию или доступ к ней. Это также означает, что такие слабые места, скорее всего, будут найдены и использованы настоящими преступниками.

“Характеризовать это как взлом просто неправильно с технической стороны, поскольку это была собственная система агентства штата, которая вытащила эти данные SSN и сделала их общедоступными на своем сайте, – сказал Мэки, – а затем реагировать таким образом, не говоря “спасибо”, а фактически ополчившись на журналистов и исследователей и преследуя их… это просто странно”.

Оставьте комментарий