Il governatore del Missouri minaccia il giornalista che ha scoperto che il sito statale ha divulgato informazioni private

Il governatore del Missouri Mike Parson sta minacciando azioni legali contro un giornalista e un giornale che hanno scoperto e divulgato responsabilmente una vulnerabilità di sicurezza che ha lasciato i numeri di previdenza sociale degli insegnanti e del personale educativo esposti e facilmente accessibili.

Il St. Louis Post-Dispacciamento rapporti di aver notificato al Dipartimento dell’istruzione elementare e secondaria del Missouri (DESE) che uno dei suoi strumenti restituiva pagine HTML che contenevano SSN dei dipendenti, mettendo potenzialmente a rischio le informazioni di oltre 100.000 dipendenti. Nonostante il fatto che l’outlet abbia aspettato fino a quando lo strumento non fosse stato rimosso dallo stato per pubblicare la sua storia, il giornalista è stato definito un “hacker” dal governatore Parson, il quale afferma che coinvolgerà il procuratore della contea e gli investigatori.

Secondo il Post-spedizione, lo strumento che conteneva la vulnerabilità era progettato per consentire al pubblico di vedere le credenziali degli insegnanti. Tuttavia, secondo quanto riferito, includeva anche il SSN del dipendente nella pagina restituita, mentre apparentemente non appariva come testo visibile sullo schermo, KrebsOnSecurity rapporti che accedervi sarebbe facile come fare clic con il pulsante destro del mouse sulla pagina e fare clic su Ispeziona elemento o Visualizza sorgente.

Mentre il giornalista ha seguito i protocolli standard per la divulgazione e la segnalazione della vulnerabilità, il governatore lo tratta come se avesse attaccato il sito o stesse cercando di accedere alle informazioni private dell’insegnante per scopi nefasti.

In una conferenza stampa, il governatore Parson ha descritto le azioni del giornalista come “decodifica del codice sorgente HTML”, il che lo fa sembrare sospetto e clandestino. Tuttavia, sta letteralmente descrivendo come funziona la visualizzazione di un sito Web: è compito del server inviare un file HTML al tuo computer in modo da poterlo visualizzare e tutto ciò che è incluso in quel file non è segreto (anche se non è fisicamente visibile sul tuo schermo quando si visualizza quella pagina web). Il governatore Parson dice che niente sul sito web di DESE ha dato il permesso agli utenti per accedere ai dati del SSN, ma è stato fornito gratuitamente.

Di seguito è possibile visualizzare la conferenza stampa completa del governatore.

Il Verge ha contattato Missouri DESE per chiarire se lo strumento era accessibile pubblicamente o se richiedeva l’accesso ma non ha ricevuto immediatamente una risposta. Ovviamente, essere accessibile è un problema, indipendentemente dal fatto che sia dietro un accesso.

La risposta del Missouri è, per dirla alla leggera, l’esatto opposto della pratica standard. Molte organizzazioni hanno premi per bug o sicurezza del valore di centinaia di migliaia di dollari, che pagheranno agli hacker che trovano e divulgano responsabilmente difetti come questi. Il motivo per cui esistono è che renderanno i tuoi sistemi più sicuri: sì, le persone cercheranno e troveranno vulnerabilità, ma probabilmente c’era già qualcuno che lo faceva comunque. Con una taglia di bug, ti stanno dicendo in modo che tu possa risolverlo piuttosto che vendere quelle informazioni sul dark web o usarle per guadagno personale. Ovviamente, questo tipo di somme non sono ragionevoli per i distretti scolastici, che spesso hanno dipartimenti IT sottofinanziati a causa della riduzione dei budget, ma ci sono molte opzioni tra il pagamento di ingenti somme di denaro e la minaccia di azioni legali.

Il governatore Parson afferma che l’incidente potrebbe costare ai contribuenti dello stato 50 milioni di dollari. Se un hacker malintenzionato avesse trovato il tesoro dei SSN, probabilmente sarebbe stato ancora più costoso: lo stato avrebbe comunque dovuto riparare il sistema e avrebbe avuto insegnanti che avrebbero solide pretese contro di esso se ne avessero avuto bisogno servizi di protezione dell’identità.

Governatore Parson (insieme a un comunicato stampa dell’Ufficio di amministrazione) chiarisce che i SSN erano accessibili solo uno alla volta: nei file HTML non era incluso un elenco di tutte le informazioni private dei dipendenti. Ma come chiunque sia guardato la scena di apertura di Il social network sa, può essere banale per gli hacker scaricare tutte le pagine da un’applicazione e rimuoverne informazioni specifiche. Solo perché il giornalista non l’ha fatto (sarebbe stato probabilmente irresponsabile se l’avesse fatto) non significa che non fosse possibile e non parla di buone pratiche di sicurezza.

Per essere chiari: perseguire il giornalista, la testata giornalistica e chiunque sia coinvolto servirà solo a mettere a rischio le persone nel Missouri perché nessuno vorrà segnalare i difetti di sicurezza che hanno trovato nei sistemi pubblici se la risposta dello stato invierà le forze dell’ordine dopo loro. Difetti di sicurezza come questo sono estremamente sfortunati, ma inevitabilmente accadranno (il Post-spedizione segnala che il DESE è risultato aver archiviato i SSN degli studenti da un audit nel 2015). Sia con gli enti pubblici che con le aziende, il vero test non è se succede, ma come si reagisce. Sfortunatamente, sembra che il governatore Parson stia fallendo quel test.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *