Petteri Pyyny
17. lokakuuta, 2021 14:32
Yhdysvalloissa Missourin osavaltion kuvernööri on ilmeisesti unohtanut tarkistaa teknistä tietämystään asioista hieman enemmän perillä olevilta tahoilta.
Through a multi-step process, an individual took the records of at least three educators, decoded the HTML source code, and viewed the SSN of those specific educators.
Sekoilun taustalla on tilanne, jossa osavaltiossa toimiva paikallinen sanomalehti oli huomannut nolon mokan osavaltion sivistystoimen sivuilta ja kertoi siitä eteenpäin.
Lehden toimittaja oli ollut vierailemassa Missourin osavaltion sivistystoimen sivuilla ja oli jostain syystä päättänyt napauttaa selaimessaan oikeaa hiirenpainiketta ja katsella sivun HTML-lähdekoodia. Eli asia, jonka kuka tahansa voi tehdä omalla selaimellaan, millä tahansa netistä löytyvällä sivulla.
Kyseisen HTML-sivun koodiin oli jostain käsittämättömästä syystä jätetty lista kaikista peruskoulun opettajista, täysien nimien ja sosiaaliturvatunnusten kera. Yhdysvalloissa sosiaaliturvatunnus on salassa pidettävä tieto, jota ei lähtökohtaisesti kukaan suostu antamaan eteenpäin ilman erittäin hyvää syytä.
Tiedot löytänyt toimittaja ilmoitti asiasta välittömästi Missourin osavaltion viranomaisille ja päätti olla julkaisematta asiasta uutista, odottaen, että moka korjataan viivyttelemättä.
Mutta osavaltion kuvernööri, Mike Parson, oli kuullut asiasta, mutta ilmeisesti ymmärtämättä kuulemaansa. Mies twiittasi aiheesta nopeasti ja kertoi...
We notified the Cole County prosecutor and the Highway Patrol's Digital Forensic Unit will investigate. pic.twitter.com/2hkZNI1wXE
Myöhemmin Parson täsmensi vielä lausuntoaan siten, että hän pitää tekoa murtautumisena osavaltion järjestelmiin ja haluaa tekoon syyllistyneet vastuuseen - ja oikeuden eteen. Vielä myöhemmin tehdyssä haastattelussa kuvernööri jatkoi samalla linjalla, syyttäen kyseistä toimittajaa rikoksista ja osavaltion maineen nolaamisesta.
It's clear the Governor's office has a fundamental misunderstanding of both web technology and industry standard procedures for reporting security vulnerabilities.
-- Rep. Tony Lovasco (MO-64) (@tonylovasco) October 14, 2021
Journalists responsibly sounding an alarm on data privacy is not criminal hacking.#moleghttps://t.co/Z7voxjZ9sH
Monet teknologian perusteita hieman paremmin tuntevat tahot ovat sittemmin ehtineet korjaamaan kuvernöörin puheita julkisuudessa, mutta kuvernööri itse ei ole niitä vieläkään oikaissut.
uutiskuva: Wikipedia