Американски професор по киберсигурност е помогнал на правителството на щата Мисури да открие уязвимост в публичен сайт, но впоследствие е даден на съд за действията си. Сега той настоява разследването срещу него да бъде прекратено, а местната технологична общност е в шок. Причината: „изтеклата” информация е била достъпна за всеки посетител на сайта чрез функцията за разглеждане на HTML кода на сайта.
На 14 октомври представител на местното правителство на щата Мисури – човек на име Майк Парсън, обявява, че ще съди журналист от местното издание „St. Louis Post-Dispatch”, защото е идентифицирал пробив в сигурността на публичен уебсайт: били са изложени на показ социално-осигурителните номера на голям брой учители и училищни работници. Майк Парсън заплашва със съд и Шаджи Хан – професор по киберсигурност, който е съдействал на журналиста за потвърждаване на проблема.
Всичко това се случва въпреки факта, че местното правителство е направило достъпни социално-осигурителните номера на учителите в нешифрован вид в изходния HTML код на сайта, който пък е свободно достъпен за широката общественост, разказва Arstechnica. Решението на правителствения служител да обвинява онези, които са открили недостатъка, му спечели масови подигравки из социалните медии от всякакви хора, включително такива с базови компютърни познания, които са наясно със стандартната функция „преглед на източника“ (view source), присъстваща в уеб браузърите.
Сега Хан е наел и адвокат, за да се защити от обвиненията на щатската управа. Със свое писмо до Парсън адвокатът посочва, че обвинението срещу професора е клевета и че държавното разследване срещу Хан „би нарушило забраната за злонамерено наказателно преследване”.
„Професор Хан вероятно ще спечели по съществото всяко дело, заведено срещу него”, се казва в писмото. „Нито един закон в Мисури или на федерално ниво не забранява на членовете на широката общественост да разглеждат публично достъпни уебсайтове или да преглеждат некриптирания изходен код на който и да е уебсайт. Никой разумен човек не би помислил, че е неупълномощен да преглежда публично достъпен уебсайт, неговия некриптиран изходен код или който и да е от некриптираните преводи на този изходен код”. Поради това разследването срещу професора би било противозаконно само по себе си.
В писмото се отбелязва, че репортерът се е обърнал към професора за помощ, за да потвърди, че има пробив в правителствен сайт, който позволява на широката общественост да търси данни за учители от щата
Номера, видими за всеки посетител
В писмото се отбелязва, че репортерът на Post-Dispatch Джош Рено е помолил Хан да провери грешката в сигурността в уебсайт на правителството на Мисури, който позволява на обществеността да търси сертификати и акредитации на учители. „Професор Хан се съгласи да провери дали грешката в сигурността съществува, само ако Рено се съгласи да не публикува никаква статия, преди щатът Мисури да получи възможност да защити чувствителната информация на учителите, ако действително е налице пробив. Рено се съгласи”, се казва в писмото.
Пробивът е бил безкрайно лесен за потвърждаване. „Публичният уебсайт позволява на посетителите да търсят идентификационните данни на учителите от Мисури. Потребителите могат да търсят учители по училищни задачи или по техните фамилни имена и последните четири цифри от техните социалноосигурителни номера.
Въпреки това, поради пропуск в сигурността, присъстващ в дизайна, уебсайтът е програмиран да изпраща пълните социално-осигурителни номера на учителите от Мисури до всеки посетител на уебсайта, независимо дали посетителят е наясно с това или не. Информация също така е програмирана да се съхранява автоматично в уеб браузърите на посетителите”.
В крайна сметка професорът проверява и потвърждава проблема на сайта. В момента въпросният сайт е свален „поради поддръжка”.
Единственото разследване, което би било основателно, казва професорът, е срещу щатското правителство: то е нарушило закона, който забранява на обществени институции да разкриват социалноосигурителните номера на хората. Местната власт е нарушила и друг закон – задължението да информира лицата, засегнати от теч на данни, че има изтичане на тяхна лична информация.
„Хакерска атака”
„Щатът Мисури и неговите служители неправилно са публикували онлайн социалноосигурителни номера на приблизително 100 000 учители. Вместо да информират учителите за естеството на този теч на данни, служителите на Мисури избраха да сведат до минимум грешката в сигурността, създадена от държавата, и публично да обвиняват лицата, които отговорно са докладвали за проблема на съответните власти”, пише професорът по киберсигурност.
Може би нещата биха приключили тихо и кротко с поправяне на проблема, но вместо това се случва нещо изненадващо: местната власт решава да обвини журналиста или професора в хакване. На 13 октомври Административната служба на Мисури публикува прессъобщение, в което се твърди, че „хакер” е получил достъп до социалноосигурителните номера на учителите.
„Щатът Мисури автоматично предава номерата… на всеки посетител на уебсайта. Никой, който е открил и докладва този пропуск в сигурността, не се е опитал да получи неоторизиран достъп или да „хакне” уебсайта”, пише в писмото на Хан.
Дръзко и решително Парсън дори свиква пресконференция, на която разгръща подробно тезата си, че сайтът е бил хакнат и са откраднати защитени данни.
Ситуацията привлече широко обществено внимание и местната власт стана обект на остри критики от много хора. „Ясно е, че кабинетът на губернатора показва фундаментално неразбиране както на уеб технологията, така и на стандартните процедури за отчитане на уязвимости в сигурността”, писаха някои медии. Парсън става обект и на немалко подигравки.
След писмото на адвоката на професора в момента местната власт е потънала в мълчание. Вместо отговор, при проф. Хан е изпратен следовател, който да „интервюира” професора по случая.