Missouri Valisi Mike Parson, öğretmen ve eğitim personelinin sosyal güvenlik numaralarını açıkta ve kolayca erişilebilir durumda bırakan bir güvenlik açığını bulup sorumlu bir şekilde ifşa eden bir muhabir ve gazeteye karşı yasal işlem başlatmakla tehdit ediyor.
St. Louis Post-Dispatch raporları, Missouri İlk ve Orta Eğitim Departmanına (DESE), araçlarından birinin çalışan SSN’lerini içeren HTML sayfalarını döndürdüğünü ve 100.000’den fazla çalışanın bilgilerini potansiyel olarak riske attığını bildirdiğini bildirdi. Haber kanalının, haberini yayınlamak için aracın devlet tarafından kaldırılmasını beklemesine rağmen, vali Parson muhabiri “hacker” olarak adlandırdı ve bölge savcısını ve müfettişleri dahil edeceğini söyledi.
Gönderme Sonrası’na göre, güvenlik açığını içeren araç, halkın öğretmenlerin kimlik bilgilerini görmesini sağlamak için tasarlandı. Bununla birlikte, bildirildiğine göre, döndürülen sayfada çalışanın SSN’sini de içeriyordu – görünüşe göre ekranda görünür metin olarak görünmese de, KrebsOnSecurity, sayfaya sağ tıklayıp Öğeyi İncele’ye tıklamak kadar kolay olduğunu bildiriyor. Kaynağı Görüntüle.
Bildirildiğine göre, çalışanın SSN’lerini görmek, Kaynağı Görüntüle’yi tıklamak kadar kolaydı
Muhabir, güvenlik açığını ifşa etmek ve raporlamak için standart protokolleri takip ederken, vali ona siteye saldırmış veya siteye saldırmaya çalışıyormuş gibi davranıyor. öğretmenin özel bilgilerine hain amaçlarla erişmek.
Bununla birlikte, kelimenin tam anlamıyla bir web sitesini görüntülemenin nasıl çalıştığını açıklıyor – sunucunun görevi, görüntüleyebilmeniz için bilgisayarınıza bir HMTL dosyası göndermektir ve bu dosyada bulunan herhangi bir şey gizli değildir (fiziksel olarak görünmese bile). o web sayfasını görüntülerken ekran). Vali Parson, DESE’nin web sitesindeki hiçbir şeyin kullanıcılara SSN verilerine erişim izni vermediğini, ancak bu verilerin ücretsiz olarak sağlandığını söylüyor.
Vali’nin tam basın toplantısını aşağıda görebilirsiniz.
The Verge, aracın herkese açık olup olmadığını veya oturum açmanın gerekli olup olmadığını açıklığa kavuşturun ve buna yanıt olarak DESE, (devam eden soruşturma nedeniyle) tek yorumunun verilerin artık korunduğu şeklinde olduğunu söylüyor. Elbette, girişin arkasında olup olmadığına bakılmaksızın, erişilebilir olması bir sorundur.
Valinin yanıtı standart uygulama karşısında uçup gidiyor
Missouri’nin yanıtı, hafifçe söylemek gerekirse, tam tersidir. standart uygulama. Birçok kuruluş, bunun gibi kusurları bulan ve sorumlu bir şekilde ifşa eden bilgisayar korsanlarına ödeyecekleri yüz binlerce dolar değerinde hata veya güvenlik ödüllerine sahiptir.
Bir hata ödülü ile size, bu bilgiyi dark web’de satmak veya kişisel kazanç için kullanmak yerine düzeltebileceğinizi söylüyorlar. Açıkçası, bu tür meblağlar, daralan bütçeler nedeniyle BT departmanlarına genellikle yetersiz fon sağlayan okul bölgeleri için makul değildir, ancak büyük meblağlar ödemekle yasal işlemle tehdit etmek arasında birçok seçenek vardır.
Bunun gibi güvenlik açıkları son derece talihsizdir, ancak bunlar kaçınılmaz olarak gerçekleşecektir (Gönderme Sonrası raporlar, DESE’nin 2015 yılındaki bir denetimle öğrenci SSN’lerini depoladığının tespit edildiğini bildirmektedir). Hem kamu kurumları hem de şirketler için asıl test, bunun gerçekleşip gerçekleşmediği değil, buna nasıl yanıt verdiğinizdir. Maalesef, Vali Parson bu testi geçemiyor gibi görünüyor.
14 Ekim 17:52 ET’de güncellendi: DESE’den gelen yorumu yansıtacak şekilde güncellendi.
.
