F12 不是黑客攻擊:密蘇里州州長威脅要起訴當地記者發現暴露的州數據

F12 不是黑客攻擊:密蘇里州州長威脅要起訴當地記者發現暴露的州數據

密蘇里州州長邁克·帕森 (Mike Parson) 在威脅要起訴一名負責報導該州網站嚴重安全漏洞的記者後,面臨巨大的強烈反對。

本週早些時候,聖路易斯郵報記者喬什·雷諾 (Josh Renaud) 報導稱,該州中小學教育部 (DESE) 的網站公開了超過 100,000 名教師的社會安全號碼。 這些 SSN 是通過查看網站網頁的 HTML 源代碼發現的,允許任何有互聯網連接的人通過右鍵單擊頁面並點擊“查看頁面源代碼”來查找敏感信息。 對於許多人來說,查看網頁的源代碼就像在鍵盤上按 F12 一樣簡單。

Post-Dispatch 向州當局報告了該漏洞以修補網站,並推遲發布有關該問題的報導,以便州政府有足夠的時間來解決問題。 DESE 此後確認“教育工作者認證搜索工具已立即禁用”,並且該漏洞現已修復。

那本該結束了。 雖然其他任何官員都可能感謝報紙發現漏洞並在上市前進行提醒, 密蘇里州共和黨州長邁克·帕森 (Mike Parson) 將揭露該漏洞的記者描述為“黑客”,並稱該報揭露該漏洞是“企圖讓該州難堪”。

‘黑客是未經授權訪問信息或內容的人。 這個人無權做他們所做的事情,”他在周四的新聞發布會上說。 ‘這個人不是受害者。 他們反對國家機構洩露教師的個人信息,企圖讓國家難堪,並向他們的新聞媒體兜售頭條新聞。

帕森說:“國家致力於將任何入侵我們系統的人以及任何幫助和教唆他們這樣做的人繩之以法。” 州長還將此案提交給縣檢察官。

不出所料,州長對 Post-Dispatch 報告的回應以及他對“黑客”一詞的清晰理解引發了批評,甚至來自他自己的黨內。 共和黨議員托尼洛瓦斯科寫道 推特 很明顯,“州長辦公室對網絡技術和報告安全漏洞的行業標準程序存在根本性的誤解”,並補充說,“負責任地對數據隱私發出警告的記者不是犯罪黑客。”

美國參議員羅恩·懷登(Ron Wyden)也點出了帕森的言論, 發推特: ‘新聞業不是犯罪。 網絡安全研究也不是。 真正的領導人在揭露政府失職時不會對媒體發動攻擊,他們會捲起袖子解決問題。”

當然,網絡安全行業的人士也很快對帕森的評論發表了看法。 雷切爾·托巴克 (Rachel Tobac) 是一名黑客,也是 SocialProof Security 的首席執行官, 發推文:“如果您的代碼通過公共開發工具洩露個人數據,任何人只需按鍵盤上的 F12 即可看到該工具,那麼您將面臨巨大的數據洩露問題,而不是黑客攻擊。”

Post-Dispatch 也對 Parson 的回應持保留態度,並站在 Renaud 身邊。 該報稱其記者“通過向 DESE 報告他的調查結果來做了負責任的事情,以便國家可以採取行動防止披露和濫用。”

‘黑客是指以惡意或犯罪意圖破壞計算機安全的人。 在這裡,沒有違反任何防火牆或安全措施,當然也沒有惡意,”它在一份聲明中補充道。 “對於 DESE 來說,通過將其稱為榟acking 來轉移其失敗是沒有根據的。”

當然,雖然帕森發誓要讓 Post-Dispatch 為幫助國家發現和修復安全漏洞的所謂犯罪“負責”,但鑑於美國最近的決定,雷諾最終被定罪的可能性很小最高法院在 Van Buren v. United States 案中裁定,一個人在訪問文件或其他信息時違反了法律,否則他們將無法訪問。

但如果國家採取行動,起訴可能會對新聞和安全研究產生寒蟬效應,進一步加劇研究人員在發現並向其所有者報告安全漏洞後面臨法律威脅和攻擊的問題。

最高法院在具有里程碑意義的 CFAA 裁決中限制美國黑客法

Leave a Reply

Your email address will not be published. Required fields are marked *