Gobernador de Missouri promete procesar penalmente al reportero que encontró fallas en el sitio web del estado

mike parson, stl, st louis, governor,
El martes, un periodista del St. Louis Post-Dispatch alertó al estado de que los números de seguro social de los maestros y administradores escolares eran vulnerables a la exposición pública debido a fallas en un sitio web mantenido por el departamento de educación de Missouri.

 

POR: JASON HANCOCK

    

El martes, un periodista del St. Louis Post-Dispatch alertó al estado de que los números de seguro social de los maestros y administradores escolares eran vulnerables a la exposición pública debido a fallas en un sitio web mantenido por el departamento de educación de Missouri.

 

El periódico acordó posponer la publicación de cualquier artículo mientras el departamento solucionaba el problema y protegía la información privada de los maestros de todo el estado.

Pero para el jueves, el gobernador Mike Parson estaba etiquetando al reportero de Post-Dispatch como un "hacker" y prometiendo buscar un proceso penal.

 

"El estado no se toma este asunto a la ligera", dijo Parson el jueves en una conferencia de prensa convocada apresuradamente. Se negó a responder preguntas después.

 

Parson dijo que había remitido el asunto al fiscal del condado de Cole y le había pedido a la Patrulla de Carreteras del Estado de Missouri que investigara.612130693-Remax Gold 9-1-21 jpg 450x450.jpg

 

"Esta administración se opone a todos y cada uno de los perpetradores que intentan robar información personal y dañar a los habitantes de Missouri", dijo.

Según Post-Dispatch, uno de sus reporteros descubrió la falla en una aplicación web que permite al público buscar certificaciones y credenciales de maestros. No había información privada claramente visible, pero los números de seguro social de los maestros estaban contenidos en el código fuente HTML de las páginas.

 

El estado eliminó la herramienta de búsqueda después de haber sido notificado del problema por Post-Dispatch. No estaba claro cuánto tiempo habían estado vulnerables los números de la Seguridad Social.

En un comunicado de prensa el miércoles, la División de Servicios de Tecnología de la Información de la Oficina de Administración dijo que a través de un proceso de varios pasos, un "pirata informático tomó los registros de al menos tres educadores, decodificó el código fuente HTML y vio el número de seguro social de los educadores ".

 

El estado no tiene conocimiento de ningún uso indebido de la información individual o incluso si se accedió a la información de manera inapropiada fuera de este incidente aislado.

 

Parson dijo el jueves que no estaba seguro de por qué el periodista accedió a la información. Afirmó que era parte de un "juego político de lo que se supone que es uno de los medios de comunicación de Missouri".

 

"El estado está comprometido a llevar ante la justicia a cualquiera que haya pirateado nuestro sistema y a cualquiera que los haya ayudado e instigado a hacerlo", dijo Parson, argumentando más tarde que el reportero estaba "intentando avergonzar al estado y vender titulares para su medio de comunicación".

 

El representante estatal republicano Tony Lovasco, quien según su biografía legislativa ha trabajado en implementación y mantenimiento de software, tuiteó el jueves que “está claro que la Oficina del Gobernador tiene un malentendido fundamental tanto de la tecnología web como de los procedimientos estándar de la industria para informar vulnerabilidades de seguridad.

 

“Los periodistas que hacen sonar la alarma de manera responsable sobre la privacidad de los datos no son piratería criminal”, dijo.

 

Chris Vickery, un experto en seguridad de datos con sede en California, dijo a The Independent que parece que el departamento de educación estaba “publicando datos que no debería haber estado publicando.

 

“Eso no es un crimen para los periodistas que lo descubren”, dijo. “Poner números de Seguro Social dentro de HTML, incluso si es HTML de 'representación sin visualización', es una estupidez para el sitio web de Missouri y es un tipo de error descarado que ha existido desde el primer día de Internet. Aquí no hay ningún exploit, pirateo o vulnerabilidad ".

 

Al explicar cómo espera que el periodista y la organización de noticias sean procesados, Parson señaló un estatuto estatal que define el delito de manipulación de datos informáticos . Vickery dijo que el estatuto no funcionaría en este 1636479442-Southside Dental Care 9-1-21 jpg 400x344.jpgcaso debido a una decisión reciente de la Corte Suprema de los Estados Unidos en el caso de Van Buren contra Estados Unidos.

 

El tribunal dictaminó en ese caso que alguien viola la ley cuando accede a archivos u otra información que está fuera de su alcance . En Missouri, dijo Vickery, el estado estaba publicando “la fuente HTML en la Internet pública, sin obstáculos de una contraseña u otra forma requerida de desafío de autenticación, lo que significa que el público puede asumir razonablemente que está autorizado para ver ese contenido con el propósito de leyes relacionadas con las formas de delito de 'intrusión informática' ”.

 

El Post-Dispatch publicó una declaración en respuesta de su abogado, diciendo que el reportero “hizo lo responsable al informar sus hallazgos al (Departamento de Educación Primaria y Secundaria) para que el estado pudiera actuar para prevenir la divulgación y el uso indebido.

"Un pirata informático es alguien que subvierte la seguridad informática con intenciones maliciosas o delictivas", continúa el comunicado. “Aquí, no hubo violación de ningún firewall o seguridad y ciertamente no hubo intenciones maliciosas. Que DESE desvíe sus fallas al referirse a esto como 'piratería' es infundado. Afortunadamente, se descubrieron estas fallas ".

 

La líder de la minoría de la Cámara de Representantes, Crystal Quade, demócrata de Springfield, dijo que el Post-Dispatch merece elogios por descubrir un problema, no amenazas.

 

"El gobernador debe dirigir su enojo hacia el fracaso del gobierno estatal para mantener su tecnología segura y actualizada y trabajar para solucionar el problema", dijo, "no amenazar a los periodistas con enjuiciamiento por descubrir esas fallas".