Kommer ni ihåg guvernör Mike Parson, Missouri, och hans kamp för att få en reporter på lokaltidningen fälld för dataintrång sedan reporterna tittat på källkoden till en av Missouris officiella hemsidor? Nu har Ars Technica tagit del av polisutredningen runt det påstådda brottet och det är inte smickrande läsning för guvernören.
Det ska sägas direkt att polisutredningen inte i direkta ordalag kritiserar guvernören men
Det är olagligt att komma åt kodad data och system för att granska andras personliga information, och vi samordnar statliga resurser för att svara och använda tillgängliga juridiska metoder.
Mike Parson
Trots att funktionen – att titta på HTML-kod finns inbyggd i praktiskt taget webbläsare – så vidhöll Mike Parson att det handlad som ett intrång när St. Louis Post-Dispatchs reporter Josh Renaud tittade i källkoden tillhörande en webbplats med information om delstatens lärare. Till sin förvåning kunde Josh Renaud ta del av personlig, känslig information om lärare – närmast direkt i källkoden. Han meddelade det han hittat till myndigheten och avvaktade med att publicera sin text tills problemet och buggen var åtgärdad.
Polisutredningen
Då ordern att utreda det påstådda brottet kom direkt från delstatens guvernör, och att densamma klargjorde att ”brottet” skulle utredas grundligt så satte Missouri State Highway Patrol in tre utredare som la ned sammanlagt 175 timmar på ett utreda något som redan på förhand skulle ha avfärdats för att inte vara ett brott. Av utredningen framgår att buggen och säkerhetsproblemet hade funnits praktiskt taget ända sedan det aktuella systemet och webbplatsen gjordes publik.
5. Ms. Keep said the data which was encoded should have been encrypted. Ms. Keep told me Mr. Durnow was reworking the web application to encrypt the data prior to putting the web application back online for the public. Ms. Keep told me the DESE application was about 10 years old, and the fact the data was only encoded and not encrypted had never been noticed before.
Av utredningen så framgår att den känsliga informationen publicerats som Base64 vilket gör att texten, informationen inte kan läsas i klartext men det är inte detsamma som att informationen är krypterad eftersom, Base64 mycket enkelt kan göras om till läsbar text och information.
Entydigt
Polisutredningen går entydigt åt ett och samma håll – Josh Renaud har inte begått något brott utan den information han inte borde ha kunnat ta del av låg öppen och offentlig. De experter polisen har talat med säger en och samma sak – det är inget brott, intre ens i närheten.
När polisutredningen lämnades över till åklagare så lades hela utredningen och alla misstankar ned med en artig förklaring eftersom det trots allt var delstatens guvernör som krävt att ”brottet” skulle utredas. Det tog tre utredare 175 timmar att komma fram till et som är helt självklart. Vad sedan hela den gör affären kan innebär för delstaten Missouri när det handlar om huruvida buggjägare kommer att vilja rapportera problem och buggar delstatens olika datorsystem återstår att se.
0 kommentarer