خبر

  • تک بورد - مشاهده کد HTML وب سایت غیرقانونی یا

    مشاهده کد HTML وب سایت غیرقانونی یا "هک" نیست، پروفسور. به فرماندار میسوری می گوید.
    14 روز و 15 ساعت قبل

    پروفسور از فرماندار می‌خواهد که «تحقیقات بی‌اساس» را متوقف کند و عذرخواهی کند.
    استاد امنیت سایبری که به کشف شکست دولت میسوری در حفاظت از شماره‌های تأمین اجتماعی معلمان کمک کرد، از ایالت خواسته است که تحقیقات خود را در مورد او متوقف کند و از «اتهامات بی‌اساس» خودداری کند. او مرتکب جنایت شد

    همانطور که در 14 اکتبر گزارش دادیم، مایک پارسون، فرماندار میسوری، روزنامه نگاری در سنت لوئیس پست دیسپچ که نقص امنیتی را شناسایی کرده بود که شماره تامین اجتماعی معلمان و سایر کارمندان مدرسه را فاش می کرد، تهدید کرد که پیگرد قانونی و درخواست خسارت مدنی خواهد کرد. ایالت همچنین در حال تحقیق در مورد شاجی خان، استاد امنیت سایبری در دانشگاه میسوری-سنت است. لویی که به روزنامه‌نگار Post-Dispatch کمک کرد تا آسیب‌پذیری امنیتی را تأیید کند.

    همه اینها با وجود این واقعیت رخ می‌دهد که دولت ایالت شماره‌های تامین اجتماعی معلمان را به صورت رمزگذاری نشده در کد منبع HTML یک عمومی در دسترس قرار داده است. وب سایت قابل دسترسی استراتژی فرماندار برای سرزنش کسانی که این نقص را کشف کردند باعث تمسخر گسترده او در رسانه های اجتماعی از سوی افرادی شد که با عملکرد استاندارد "مشاهده منبع" موجود در مرورگرهای وب بزرگ آشنا هستند.

    خان وکیلی را برای دفاع از خود استخدام کرد. در برابر اتهامات دولت روز پنجشنبه هفته گذشته، وکیل خان نامه ای برای توقف و تقاضای دعوی به پارسون و چندین آژانس دولتی ارسال کرد. در این نامه آمده است که پارسون و سایر مقامات ایالتی خان را بدنام کردند و متمم اول او را نقض کردند "حق صحبت آزادانه بدون تهدید دولت به تلافی". این نامه اضافه می کند که تحقیقات دولت نشان بده در مورد خان "منع تعقیب بدخواهانه را نقض می کند." "هیچ قانونی در میسوری یا در سطح فدرال، عموم مردم را از مشاهده وب سایت های در دسترس عموم یا مشاهده کد منبع رمزگذاری نشده وب سایت منع نمی کند. هیچ فرد منطقی فکر نمی کند که آنها مجاز به مشاهده یک وب سایت در دسترس عموم، کد منبع رمزگذاری نشده آن، یا غیرقانونی هستند. هر یک از ترجمه های رمزگذاری نشده آن کد منبع. هیچ دلیل محتملی برای تحقیق درباره پروفسور خان وجود ندارد، و بنابراین تحریک یا ادامه هر گونه اقدام علیه او ممنوع خواهد بود." تبلیغات

    SSN های ارسال شده "برای هر بازدید کننده ای از وب سایت"

    در نامه اشاره می شود که گزارشگر Post-Dispatch، جاش رنود از خان خواسته است تا نقص امنیتی در یک وب سایت دولتی میسوری را تأیید کند. عمومی برای جستجوی گواهینامه ها و اعتبار معلمان. "پروفسور خان موافقت کرد تا بررسی کند که آیا نقص امنیتی فقط در صورتی وجود دارد که آقای رنود موافقت کند که هیچ داستانی را منتشر نکند تا زمانی که ایالت میسوری فرصتی برای محافظت از اطلاعات حساس معلمان در صورت وجود نقص داشته باشد. آقای رنو موافقت کرد." در نامه آمده است.

    تأیید نقص امنیتی آسان بود، نامه می‌گوید:

    این وب‌سایت عمومی به بازدیدکنندگان اجازه می‌دهد تا اعتبارنامه‌های معلمان میسوری را جستجو کنند. کاربران می توانند معلمان را بر اساس تکالیف مدرسه یا نام خانوادگی و چهار رقم آخر شماره تامین اجتماعی خود جستجو کنند. با این حال، به دلیل نقص امنیتی بزرگی که در طراحی آن وجود داشت، وب سایت طوری برنامه ریزی شد که شماره کامل معلمان تامین اجتماعی میسوری را برای هر بازدیدکننده ای از وب سایت ارسال کند، خواه بازدیدکننده آگاه باشد یا نه. این اطلاعات همچنین برای ذخیره خودکار در مرورگرهای وب بازدیدکنندگان برنامه ریزی شده بود...

    در 11 تا 12 اکتبر 2021، پروفسور خان نقص امنیتی را تأیید کرد. او این کار را با انجام این کار انجام داد:

    بازدید از وب سایت عمومی، که برای هر کسی قابل دسترسی بود و نیازی به ورود به سیستم نداشت. نگاهی به کد منبع در دسترس عموم، که می تواند به راحتی توسط هر کسی در هر صفحه وب تحت گزینه منوی "مشاهده" انجام شود. شناسایی یک قطعه مشکوک از کد منبع به نام "View State" که می تواند حاوی نقص های امنیتی باشد مانند آنچه در اینجا یافت می شود. و ترجمه کد منبع به متن ساده، که می تواند توسط هر کسی نیز انجام شود.

    همه این فرآیند را می‌توان در عرض چند دقیقه کامل کرد. هیچ یک از داده ها رمزگذاری نشده بود، هیچ رمز عبور مورد نیاز نبود، و هیچ اقدامی توسط ایالت میسوری برای محافظت از شماره های تامین اجتماعی معلمان خود که ایالت به طور خودکار برای هر بازدیدکننده وب سایت ارسال می کرد، انجام نداد.

    این وب سایت. هنوز "برای نگهداری پایین است."

    خان: تنها جنایات توسط ایالت مرتکب شده است

    نامه خان خواستار تحقیق در مورد دولت ایالتی است و می گوید دولت قانون میسوری را نقض کرده است. که نهادهای ایالتی را از افشای عمومی شماره های تامین اجتماعی منع می کند. این ایالت همچنین قانون ایالتی را که مقامات دولتی را ملزم به ارائه اطلاعات دقیق به قربانیان نقض داده ها می کرد، نقض کرده است، در این نامه آمده است:

    در اینجا، ایالت میسوری و مقامات آن به طور نادرست شماره تامین اجتماعی حدود 100000 معلم را به صورت آنلاین منتشر کردند. . مقامات میسوری به جای اطلاع دادن به معلمان از ماهیت شکست خود، تصمیم گرفتند نقص امنیتی ایجاد شده توسط ایالت را به حداقل برسانند و علناً افرادی را که مسئولانه مشکل را به مقامات مربوطه گزارش کردند، مقصر بدانند. دولت موظف است از قانون پیروی کند و اطلاعات دقیقی را در اختیار معلمان قرار دهد. این کار را نکرده و هنوز هم نکرده است، و بنابراین دولت قانون را نقض کرده است.

    در 13 اکتبر، دفتر اداری میسوری بیانیه‌ای مطبوعاتی منتشر کرد که در آن ادعا کرد که یک "هکر" به شماره‌های تامین اجتماعی معلمان دسترسی داشته است. . در نامه خان آمده است که این توصیف "کاذب" است. "ایالت میسوری به طور خودکار شماره‌های تامین اجتماعی معلمان را به هر بازدیدکننده وب‌سایت ارسال می‌کرد. هیچ‌کس که این نقص امنیتی را کشف و گزارش کرد سعی نکرد به وب‌سایت دسترسی غیرمجاز یا "هک" کند."





خبرهای دیگر از سیاست فناوری