Governador do Missouri ameaça repórter que descobriu site estadual divulgando informações privadas

O repórter divulgou responsavelmente a vulnerabilidade

O governador do Missouri, Mike Parson, está ameaçando com uma ação legal contra um repórter e um jornal que encontrou e divulgou de forma responsável uma vulnerabilidade de segurança que deixou os números do seguro social de professores e equipes educacionais expostos e facilmente acessíveis.

O St. Louis Post-Dispatch relata que notificou o Departamento de Educação Elementar e Secundária (DESE) de Missouri de que uma de suas ferramentas estava retornando páginas HTML que continham SSNs de funcionários, potencialmente colocando em risco as informações de mais de 100.000 funcionários. Apesar de o meio de comunicação ter esperado até que a ferramenta fosse retirada do ar pelo estado para publicar sua história, o repórter foi chamado de “hacker” pelo governador Parson, que diz que envolverá o promotor municipal e os investigadores.

De acordo com o Post-Dispatch, a ferramenta que continha a vulnerabilidade foi projetada para permitir que o público veja as credenciais dos professores. No entanto, ele supostamente também incluiu o SSN do funcionário na página que retornou – embora aparentemente não apareça como texto visível na tela, o KrebsOnSecurity relata que acessá-lo seria tão fácil quanto clicar com o botão direito na página e clicar em Inspecionar elemento ou Exibir fonte.

Ver os SSNs do funcionário foi supostamente tão fácil quanto clicar em Exibir fonte

Enquanto o repórter seguiu os protocolos padrão para divulgar e relatar a vulnerabilidade, o governador o está tratando como se ele tivesse atacado o site ou estivesse tentando acessar as informações privadas do professor para fins nefastos.

Em uma entrevista coletiva, o governador Parson descreveu as ações do repórter como “decodificar o código-fonte HTML”, o que o faz parecer suspeito e clandestino. Ele está, no entanto, literalmente descrevendo como a visualização de um site funciona – é função do servidor enviar um arquivo HMTL para o seu computador para que você possa visualizá-lo, e qualquer coisa incluída nesse arquivo não é secreta (mesmo que não esteja fisicamente visível em seu tela ao visualizar essa página da web). O governador Parson diz que nada no site do DESE dava aos usuários permissão para acessar os dados do SSN, mas estava sendo fornecido gratuitamente.

Você pode ver a entrevista coletiva completa do governador abaixo.

O fez contato com o Missouri DESE para esclarecer se a ferramenta era acessível ao público ou se exigia login e, em resposta, o DESE disse que seu único comentário (devido à investigação em andamento) é que os dados agora estão protegidos. Claro, estar acessível é um problema, independentemente de estar atrás de um login.

A resposta do governador vai contra a prática padrão

A resposta do Missouri é, para resumir, o exato oposto da prática padrão. Muitas organizações têm recompensas por bugs ou segurança no valor de centenas de milhares de dólares, que pagarão aos hackers que encontrarem e divulgarem falhas como essas de forma responsável. A razão pela qual eles existem é que eles tornarão seus sistemas mais seguros – sim, as pessoas irão procurar e encontrar vulnerabilidades, mas provavelmente já havia alguém fazendo isso de qualquer maneira. Com uma recompensa por bug, eles estão dizendo a você para que você possa corrigi-lo, em vez de vender essa informação na dark web ou usá-la para ganho pessoal. Obviamente, esses tipos de quantias não são razoáveis ​​para distritos escolares, que muitas vezes têm departamentos de TI subfinanciados devido a orçamentos reduzidos, mas há muitas opções entre pagar grandes somas de dinheiro e ameaçar com uma ação legal.

O governador Parson diz que o incidente pode custar US $ 50 milhões aos contribuintes do estado. Se um hacker malicioso tivesse encontrado o tesouro de SSNs, provavelmente teria sido ainda mais caro: o estado ainda teria que consertar o sistema e teria professores que teriam reivindicações sólidas contra ele se precisassem serviços de proteção de identidade.

Você ainda tem que corrigir as vulnerabilidades, mesmo se não for chamado publicamente por elas

O Governador Parson (junto com um comunicado à imprensa do Office of Administration) esclarece que os SSNs estavam acessíveis apenas um de cada vez – uma lista de informações privadas de todos os funcionários não foi incluída nos arquivos HTML. Mas, como qualquer pessoa que assistiu à cena de abertura de The Social Network sabe, pode ser trivial para os hackers baixar todas as páginas de um aplicativo e retirar informações específicas delas. Só porque o repórter não fez isso (provavelmente teria sido irresponsável se ele tivesse feito) não significa que não foi possível e não significa boas práticas de segurança.

Processar esta divulgação colocará pessoas em risco no Missouri

Para ser claro: processar o repórter, o meio de comunicação e qualquer pessoa envolvida só servirá para colocar as pessoas em risco no Missouri, porque ninguém vai querer relatar falhas de segurança que encontraram nos sistemas públicos se a resposta do estado for enviar policiais depois eles. Falhas de segurança como essa são extremamente infelizes, mas inevitavelmente acontecerão (o Post-Dispatch relata que foi descoberto que o DESE estava armazenando SSNs de alunos por meio de uma auditoria em 2015). Com entidades públicas e empresas semelhantes, o verdadeiro teste não é se isso acontece, mas como você responde a isso. Infelizmente, parece que o governador Parson está falhando nesse teste.

Atualizado em 14 de outubro, 17:52 ET: Atualizado para refletir o comentário do DESE.

#tecnologia #tecnologia #tecnologia #política #tecnologia #cíbersegurança #notícia

John Doe

Curioso e apaixonado por tecnologia.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *