El gobernador de Missouri promete procesar a St. Louis después del despacho por informar de una vulnerabilidad de seguridad – Krebs on Protection


El miércoles, el St. Louis posterior al envío publicó una historia sobre cómo su personal descubrió e informó una vulnerabilidad de seguridad en un sitio world wide web de educación del estado de Missouri que expuso los números de Seguro Social de 100,000 maestros de primaria y secundaria. En una conferencia de prensa esta mañana, Gobernador de Missouri Mike Parson (R) dijo que arreglar la falla podría costarle al estado 50 millones de dólares, y prometió que su administración buscará enjuiciar e investigar a los «piratas informáticos» y a cualquiera que haya ayudado a la publicación en su «intento de avergonzar al estado y vender titulares para su medio de comunicación». «

El gobernador de Missouri, Mike Parson (R), prometió enjuiciar al St. Louis Write-up-Dispatch por informar una vulnerabilidad de seguridad que expuso los números de seguro social de los maestros.

El Post-Despacho dice que descubrió la vulnerabilidad en una aplicación world wide web que permitió al público buscar certificaciones y credenciales de maestros, y que había más de 100,000 SSN disponibles. El estado de Missouri Departamento de Educación Primaria y Secundaria (DESE) supuestamente eliminó las páginas afectadas de su sitio web el martes después de que la publicación le notificara del problema (antes de que se publicara la historia sobre la falla).

El periódico dijo que encontró que los números de Seguro Social de los maestros estaban contenidos en el código fuente HTML de las páginas involucradas. En otras palabras, la información estaba disponible para cualquier persona con un navegador world-wide-web que también examinara el código público del sitio utilizando las Herramientas para desarrolladores o simplemente haciendo clic con el botón derecho en la página y viendo el código fuente.

El Put up-Dispatch informó que no estaba claro de inmediato cuánto tiempo habían estado vulnerables los números de Seguro Social y otra información confidencial en el sitio internet de DESE, ni se sabía si alguien había explotado la falla.

Pero en una conferencia de prensa el jueves por la mañana, El gobernador Parson dijo que buscará enjuiciar e investigar al reportero y al periódico más grande de la región por acceder «ilegalmente» a datos de maestros.

«Esta administración se opone a todos y cada uno de los perpetradores que intentan robar información own y dañar a los habitantes de Missouri», dijo Parson. “Es ilegal acceder a datos y sistemas codificados para examinar la información personal de otras personas. Estamos coordinando los recursos estatales para responder y utilizar todos los métodos legales disponibles. Mi administración ha notificado al fiscal del condado de Cole sobre este asunto, la Unidad de Análisis Forense Electronic de la Patrulla de Carreteras del Estado de Missouri también llevará a cabo una investigación de todos los involucrados. Este incidente por sí solo puede costar a los contribuyentes de Missouri hasta 50 millones de dólares «.

Mientras amenazaba con procesar a los reporteros con todo el alcance de la ley, Parson trató de minimizar la gravedad de la debilidad de la seguridad, diciendo que el reportero solo desenmascaró tres números de Seguro Social, y que “no había opción para decodificar los números de Seguro Social para todos los educadores en el sistema de una sola vez «.

«El estado está comprometido a llevar ante la justicia a cualquiera que haya pirateado nuestros sistemas o cualquier persona que los haya ayudado a hacerlo», continuó Parson. “Un hacker es alguien que obtiene acceso no autorizado a información o contenido. Este individuo no tenía permiso para hacer lo que hizo. No tenían autorización para convertir o decodificar, por lo que claramente se trataba de un truco «.

Parson dijo que la persona que informó la debilidad estaba «actuando contra una agencia estatal para comprometer la información particular de los maestros en un intento de avergonzar al estado y vender titulares para su medio de comunicación».

“No permitiremos que este crimen contra los maestros de Missouri quede impune y nos negaremos a permitir que sean un peón en la venganza política del medio de comunicación”, dijo Parson. «No solo vamos a responsabilizar a esta persona, sino que también responsabilizaremos a todos aquellos que ayudaron a esta persona y a la corporación de medios que los emplea».

En una declaración compartida con KrebsOnSecurity, un abogado del St. Louis Publish-Dispatch dijo que el reportero hizo lo responsable al informar sus hallazgos al DESE para que el estado pudiera actuar para evitar la divulgación y el uso indebido.

«Un pirata informático es alguien que subvierte la seguridad informática con intención maliciosa o delictiva», dijo el abogado Joe Martineau. “Aquí, no hubo violación de ningún firewall o seguridad y ciertamente no hubo intenciones maliciosas. Que DESE desvíe sus fallas refiriéndose a esto como ‘piratería’ es infundado. Afortunadamente, se descubrieron estas fallas «.

Aaron Mackey es un abogado senior en el Fundación Frontera Electrónica (EFF), un grupo de derechos digitales sin fines de lucro con sede en San Francisco. Mackey calificó la respuesta del gobernador como «vengativa, vengativa e increíblemente miope».

Mackey señaló que Publish-Dispatch hizo todo bien, incluso mantuvo su historia hasta que el estado corrigió la vulnerabilidad. Dijo que el gobernador también está atacando a los medios de comunicación, que desempeñan un papel vital para ayudar a dar voz (y a menudo el anonimato) a los investigadores de seguridad que de otra manera podrían permanecer en silencio bajo la amenaza de un posible proceso penal por informar sus hallazgos directamente a la organización vulnerable.

“Es peligroso e incorrecto perseguir a alguien que se comportó de manera ética y responsable en el sentido de la divulgación, pero también en el sentido periodístico”, dijo. «El público tenía derecho a conocer la negligencia de su propio gobierno en la construcción de sistemas seguros y abordar vulnerabilidades conocidas».

Mackey dijo que la respuesta del gobernador Parson a este incidente también es desafortunada porque es casi seguro que dará una pausa a cualquiera que de otra manera pueda encontrar e informar vulnerabilidades de seguridad en sitios world-wide-web estatales que exponen innecesariamente información smart o acceso. Lo que también significa que es más probable que los delincuentes reales descubran y exploten esas debilidades.

“Caracterizar esto como un hackeo es simplemente incorrecto en el aspecto técnico, cuando era el propio sistema de la agencia estatal que extraía los datos del SSN y los ponía a disposición del público en su sitio”, dijo Mackey. «Y luego reaccionar de esta manera en la que no dices ‘gracias’, sino que en realidad enciendes al reportero y a los investigadores y los persigues … es simplemente extraño».



Enlace a la noticia initial