美媒合規披露教職網站安全漏洞 卻遭密蘇里州長法律威脅
在媒體記者發現並負責任地披露了安全漏洞之後,密蘇里州州長Mike Parson卻威脅要對其採取法律行動。 《聖路易斯郵報》指出,該漏洞使得教師教育工作者的社保號碼暴露無遺且易於訪問,於是他們很快向有關部門進行了通報。
視訊截圖(來自:KMBC 9)
遺憾的是,儘管該報一直等到處於危險狀態的 HTML 頁面被官方撤下才刊登相關文章,Mike Parson 還是無理地將報導記者稱作「駭客」,甚至要求縣檢察官對其發起調查。
由該報(Post-Dispatch)披露的資訊可知,儘管明面上看不出來,但漏洞工具不僅可讓公眾查看教師們的證書,還在返回的頁面中暴露了員工的社保號碼。
正如KrebsOnSecurity指出的那樣,只需通過滑鼠右鍵點擊頁面並”檢查網頁元素”,即可在原始程式碼中看出一些端倪。
事實上,爆料記者有嚴格遵循標準的漏洞報告與披露協定,但密蘇里州州長還是對他不依不饒,搞得好像記者才是攻擊者、或出於惡意目的訪問教師的隱私資訊。
由 KMBC 9 分享的新聞發佈會視頻片段可知,Mike Parson 無知地將記者的行為描述為”解密 HTML 源碼”—— 即便從本質上來說,這隻是讓瀏覽器用戶簡單地瞭解特定網站的工作原理。
在訪客向伺服器發去請求之後,伺服器會通過超文本傳輸協定將 HTML 檔發送到客戶計算機來解析,且該檔中包含的任何內容都不是秘密。
此外儘管Mike Parson聲稱DESE網站上沒有任何允許使用者訪問職工社保號碼的數據內容,但它實質上就是伺服器端主動、免費提供的。