Datalek door privédata in html-broncode kost Missouri mogelijk 50 miljoen dollar
Een datalek in een overheidssite van de Amerikaanse staat Missouri waardoor social-securitynummers en andere gevoelige informatie van meer dan honderdduizend leraren voor iedereen op internet toegankelijk waren kost belastingbetalers mogelijk vijftig miljoen dollar, zo stelt gouverneur Mike Parson.
Via de website van het ministerie van Onderwijs van Missouri is het mogelijk om op leraren te zoeken en hun diploma's en referenties te bekijken. De social-securitynummers en andere gegevens van meer dan honderdduizend leraren waren niet op de betreffende pagina's direct zichtbaar, maar wel via de html-broncode te achterhalen.
Een verslaggever van de St. Louis Post-Dispatch, tevens webontwikkelaar, ontdekte en meldde de kwetsbaarheid aan het ministerie, waarna de zoektool werd uitgeschakeld en de code aangepast. Vervolgens publiceerde de journalist, die in totaal drie social-securitynummers had bekeken, het verhaal over het datalek.
Parson was zeer ontstemd over de werkwijze van de journalist en publicatie en dreigde met juridische stappen. Tijdens een persconferentie stelde de gouverneur dat het datalek belastingbetalers mogelijk vijftig miljoen dollar zal kosten. Verdere details wilde Parson niet geven, maar het geld zou nodig zijn voor het aanbieden van kredietmonitoring en het opzetten van een callcenter, hoewel sommige afgevaardigden het bedrag ongefundeerd noemen.
"Het is de staat die de gevoelige privégegevens van leraren openbaar maakte. Als de staat miljoenen dollars moet uitgeven om de website te fixen en de data van leraren te beveiligen, is dat doordat de staat zelf een probleem heeft veroorzaakt en niet de krant die het bij de staat onder de aandacht bracht", aldus de redactieraad van de St. Louis Post-Dispatch.
Dat klinkt wel heel veel voor iets wat sowieso had moeten gebeuren. Want of je het bestaan van het lek wel/niet openbaar maakt, criminelen hebben in beide gevallen de kans gehad de data te verzamelen.
Hett openbaar maken gebeurde nadat het lek gedicht heeft, dus dat heeft criminelen niet geholpen.
Zo zie je dan maar weer: bad choice.
Hoop wel dat rechters (die er vast aan te pas gaan komen) duidelijk oordelen over hoe Responsible Disclosure juist helpt.
Een paar gekken gaan er straks voor pleiten om de F12 knop te schrappen. HTML brondcode zou niet "hackbaar" mogen zijn, aldus wat gekken.
Ik denk dat iedereen wel kan raden voor welke partij deze wappie gouveneur is.
Een paar gekken gaan er straks voor pleiten om de F12 knop te schrappen. HTML brondcode zou niet "hackbaar" mogen zijn, aldus wat gekken.
Ik denk dat iedereen wel kan raden voor welke partij deze wappie gouveneur is.
Republikein staat dat niet synoniem aan wappie? Zal de dikke Van Dale er eens op naslaan. Anders maar eens een optie inschieten om daaraan te refereren ;-)
Een paar gekken gaan er straks voor pleiten om de F12 knop te schrappen. HTML brondcode zou niet "hackbaar" mogen zijn, aldus wat gekken.
Of je plakt
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
