Губернатор Миссури назвал исследователя безопасности хакером и пообещал засудить

Майк Парсон назвал действия исследователя взломомМайк Парсон назвал действия исследователя взломом

Губернатор Миссури Майк Парсон пообещал подать в суд на исследователя безопасности из газеты St. Louis Post-Dispatch, обнаружившего уязвимость на сайте департамента образования штата. Уязвимость позволяла посторонним узнать номера социального страхования ста тысяч учителей начальных и средних школ. Парсон заявил, что исправление проблемы обойдется бюджету в $50 миллионов, и подчеркнул, что его администрация будет преследовать «хакеров» и всех, кто помог изданию «опозорить государство ради громких заголовков».

Как рассказала Post-Dispatch, один из ее сотрудников обнаружил, что номера социального страхования учителей содержались в исходном коде страниц сайта департамента образования. Неизвестно, как долго данные были под угрозой, и неизвестно, использовал ли кто-либо эту уязвимость.

В первую очередь Post-Dispatch сообщила о проблеме в департамент, а затем опубликовала статью. Во вторник, получив уведомление от издания, департамент удалил уязвимые страницы и пообещал обсудить найденную уязвимость, однако в среду главный юрисконсульт департамента Сара Мэдден заявила, что департамент не планирует общаться с изданием по этому вопросу. К вечеру среды департамент разослал письмо учителям и разместил пресс-релиз на своем сайте. И в письме, и в релизе департамент минимизировал серьезность уязвимости и обвинил Post-Dispatch в ее обнаружении. В четверг на пресс-конференции губернатор штата Майк Парсон назвал действия газеты взломом.

Парсон заявил, что планирует инициировать судебное разбирательство как в отношении исследователя, обнаружившего дыру, так и самой газеты, «незаконно», по его словам, получившей доступ к данным учителей. Он заявил, что администрация уведомила об инциденте прокуратуру округа Коул, и подчеркнул, что произошедшее «может стоить налогоплательщикам Миссури целых $50 миллионов».

Как отмечает Брайан Кребс, журналист и исследователь безопасности, Парсон, акцентируя внимание на факте обнаружения уязвимости, также пытался преуменьшить ее серьезность, утверждая что репортер получил доступ к номерам социального страхования только троих человек, и что «не было возможности обнаружить номера всех преподавателей в системе».

«Государство намерено привлечь к ответственности тех, кто взламывает наши системы и тех, кто помогает им в этом. Хакер — это тот, кто получает несанкционированный доступ к информации или контенту. У этого человека не было разрешения на то, что он сделал, и это явный взлом», — продолжил Парсон, заключив, что сотрудник, сообщивший о проблеме, «действовал против государства в попытке опозорить его ради громких заголовков новостей». Губернатор пообещал, что это «преступление» против преподавателей Миссури не останется безнаказанным и что ответственность понесет не только сам сотрудник, но и медиакомпания, в которой он работает.

Как подчеркнул в комментарии для Брайана Кребса Аарон Мэки, адвокат в Фонде электронных рубежей (EFF), Post-Dispatch повела себя совершенно правильно, а реакция губернатора приведет к тому, что в будущем исследователи будут реже сообщать о найденных уязвимостях в государственных сайтах и сервисах, и такие недостатки будут в конечном итоге находиться и эксплуатироваться злоумышленниками.

«Характеристика обнаружения этой уязвимости как взлом неверна даже с технической точки зрения, так как собственная система государственного агентства сделала данные общедоступными. И потом, вместо «спасибо» угрожать преследованием — это просто странно».

Представитель издательства Post-Dispatch заявил, что компания будет поддерживать своего сотрудника и не откажется от публикации, и выразил сожаление в связи с тем, что губернатор пытается переложить вину на журналистов, обнаруживших проблему. Адвокат газеты, Джозеф Мартино, также подтвердил, что репортер поступил ответственно, сообщив об уязвимости. Адвокат Джин Манеке из Ассоциации работников прессы Миссури заявил, что действия Парсона имеют, видимо, политическую подоплеку.

© Habrahabr.ru