in

El gobernador de Missouri promete procesar a St. Louis por denunciar violaciones de seguridad después de publicarlas – Cancer on Security


El miércoles el Envío postal de St. Louis publicó una historia sobre cómo sus empleados descubrieron e informaron una vulnerabilidad de seguridad en un sitio web de educación del estado de Missouri que expuso los números de seguro social de 100,000 maestros de escuelas primarias y secundarias. En una conferencia de prensa esta mañana Gobernador de Missouri Mike Parson (R) dijo que el error podría costarle al estado 50 millones de dólares arreglarlo, y prometió que su gobierno intentaría avergonzar al estado y a los «piratas informáticos» y a cualquiera que lo publicara en su «intento de avergonzar al estado». su agencia de noticias ha asistido, procesado e investigado. «

El gobernador de Missouri. Mike Parson (R), promete procesar al St. Louis Post-Dispatch por informar de un problema de seguridad que descubrió los números de seguro social de los maestros.

Según Post-Dispatch, la vulnerabilidad se descubrió en una aplicación web que permitía al público buscar certificaciones y credenciales de maestros, y que había más de 100,000 SSN disponibles. El estado de Missouri Departamento de Educación Básica y Secundaria (DESE) supuestamente eliminó las páginas afectadas de su sitio web el martes después de que la publicación fuera notificada del problema (antes de que se publicara la historia del error).

El periódico dijo que encontró que los números de seguro social de los maestros estaban incluidos en el código fuente HTML de las páginas en cuestión. En otras palabras, la información estaba disponible para cualquier persona con un navegador web que también estuviera examinando el código público del sitio utilizando las herramientas de desarrollo, o simplemente haciendo clic derecho en la página y viendo el código fuente.

El Post-Dispatch informó que no estaba claro de inmediato cuánto tiempo habían estado vulnerables los números de seguro social y otra información confidencial en el sitio web del DESE, ni se sabía si alguien se había aprovechado del error.

Pero en una conferencia de prensa el jueves por la mañana, el gobernador Parson dijo que enjuiciaría e investigaría al reportero y al periódico más grande de la región por acceso «ilegal» a los datos de los maestros.

«Este gobierno se opone a todos los perpetradores que intentan robar información personal y dañar a los habitantes de Missouri», dijo Parson. “Es ilegal acceder a datos y sistemas encriptados para verificar la información personal de otras personas. Coordinamos los recursos gubernamentales para responder y utilizar todos los métodos legales disponibles. Mi administración ha notificado al Fiscal General del Condado de Cole sobre el asunto, y la Unidad Forense Digital de la Patrulla de Carreteras del Estado de Missouri también investigará a todos los involucrados. Este incidente por sí solo puede costar a los contribuyentes de Missouri hasta $ 50 millones «.

Mientras amenazaba con procesar completamente a los reporteros, Parson trató de minimizar la gravedad de la vulnerabilidad diciendo que el reportero solo expuso tres números de seguro social y que no hay forma de descifrar los números de seguro social de todos los educadores al mismo tiempo «.

«El estado está comprometido a llevar ante la justicia a cualquier persona que haya pirateado o ayudado a nuestros sistemas», continuó Parson. “Un hacker es alguien que obtiene acceso no autorizado a información o contenido. Esta persona no tenía permiso para hacer lo que estaba haciendo. No tenían permiso para convertir o decodificar, así que esto fue claramente un truco «.

Parson dijo que la persona que informó sobre la vulnerabilidad actuó «contra una agencia gubernamental para comprometer la información personal de los maestros con el fin de avergonzar al estado y vender titulares para su agencia de noticias».

«No vamos a permitir este crimen contra los maestros en Missouri con impunidad ni permitir que la agencia de noticias los empeñe en una venganza política», dijo Parson. «No sólo responsabilizaremos a esta persona, sino a todos los que la han ayudado y a la empresa de medios que los emplea».

En una declaración compartida con KrebsOnSecurity, un abogado de St. Louis Post-Dispatch dijo que el periodista asumió la responsabilidad al informar sus hallazgos al DESE para que el estado pudiera actuar para prevenir la divulgación y el abuso.

«Un pirata informático es alguien que socava la seguridad informática con intenciones maliciosas o delictivas», dijo el abogado Joe Martineau. “No hubo cortafuegos o brechas de seguridad aquí, y ciertamente no hubo intenciones maliciosas. Es infundado que DESE evite sus errores llamando a esto «piratería». Afortunadamente, se descubrieron estos errores «.

Aaron Mackey es miembro senior de Electronic Frontier Foundation (EFF), un grupo de derechos digitales sin fines de lucro con sede en San Francisco. Mackey describió la respuesta del gobernador como «vengativa, vengativa e increíblemente miope».

Mackey señaló que Post-Dispatch lo hizo bien e incluso ocultó su historia hasta que el estado solucionó la vulnerabilidad. Dijo que el gobernador también está apuntando a los medios de comunicación, que desempeñan un papel crucial en dar voz (y, a menudo, el anonimato) a los investigadores de seguridad que de otra manera podrían permanecer en silencio bajo la amenaza de enjuiciamiento por informar sus hallazgos directamente a la organización en riesgo.

«Es peligroso e incorrecto enjuiciar a alguien que ha actuado de manera ética y responsable en términos de divulgación, pero también en un sentido periodístico», dijo. «El público tenía derecho a conocer la negligencia de su propio gobierno en la construcción de sistemas seguros y la reparación de vulnerabilidades conocidas».

Mackey dijo que la respuesta del gobernador Parson al incidente también fue desafortunada, ya que es casi seguro que detendrá a cualquiera que de otra manera pueda encontrar e informar vulnerabilidades de seguridad en los sitios web del gobierno que divulguen información confidencial o acceso innecesario. Esto también significa que es más probable que criminales reales descubran y exploten tales debilidades en algún momento.

«Caracterizar esto como un hackeo es simplemente incorrecto desde el punto de vista técnico, ya que era el propio sistema de la agencia gubernamental para obtener los datos de SSN y ponerlos a disposición del público en su sitio web», dijo Mackey. «Y luego reaccionar de tal manera que no digas ‘gracias’, sino que enciendes al reportero ya los investigadores y hazles seguimiento … es simplemente extraño».

What do you think?

Written by Alan Kim

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

GIPHY App Key not set. Please check settings

¿Qué es un programa de divulgación de vulnerabilidades y necesita uno?

El Departamento del Tesoro de EE. UU. Publica un nuevo aviso sobre posibles riesgos de sanciones para facilitar los pagos de ransomware