...

密苏里州政府认为查看网页 HTML 源代码违法,属于“黑客”行为

2021-10-31

美国密苏里州近期发生了一起引发巨大讨论的“安全漏洞”事件。

根据 Ars Technica 的报道,《圣路易斯邮报》的一名记者在使用由密苏里州中小学教育部 (DESE) 维护的网站查询教育工作者的资格证时,发现了一个会暴露教师和其他学校员工社会安全号码 (SSN) 的安全漏洞。

这里所谓的安全漏洞其实就是记者通过使用浏览器自带的「查看源代码」、「查看页面源代码」此类功能,发现教师的社会安全号码直接暴露在 HTML 源代码中(后文会提到这些信息经过了 base64 转码,但没被加密)。

记者发现漏洞后,随即向维护该网站的政府教育部门进行报告。同时,记者所属报社也做出承诺,在修复漏洞期间不会发布任何相关信息。

然而政府接下来的操作却让人匪夷所思。他们先是关闭了网站的访问权限,接着召开新闻发布会,并表示准备起诉发现漏洞的记者。州长在发布会上直言报社“企图让国家难堪并为新闻头条不择手段”。他还说道,“政府不会成为新闻媒体的棋子。政府会通过法律制裁任何一个入侵我们系统的人,追究所有帮助这个人的其他人和雇用他们的媒体公司的责任。

由于在此期间,网络安全教授 Shaji Khan 帮助记者验证了漏洞的存在,所以他后面也遭受到了政府的无端调查和指控。

Shaji Khan 做了这样的操作:

  • 访问任何人都可以访问且无需登录的公共网站

  • 查看公开的源代码(任何人都可以使用「查看」菜单选项在任何网页上轻松完成)

  • 识别被称为"View State"的可疑源代码片段,其中可能包含此次事件中的所谓安全漏洞

  • 将已被转码的信息转换成可读的纯文本,这也是任何人都可以完成的操作

Shaji Khan 指出,任何人都可以在短短几分钟内完成整个过程。没有任何数据被加密,也不需要密码,密苏里州没有采取任何措施来保护该州自动发送给每个网站访问者的教师社会安全号码。

对于州政府新闻稿中声称一名“黑客”访问了教师社会安全号码的说法,Shaji Khan 指出这种描述是错误的,因为实际情况是“密苏里州自动将教师社会安全号码传输给每个网站访问者。发现并报告此安全漏洞的人没有试图未经授权访问或‘入侵’网站”。

此外 Shaji Khan 还指出,州政府违反了“禁止公开披露公民身份证号码”的法律,且未遵循“告知数据泄露受害者事件相关准确信息”的另一项法律规定。

▲ Shaji Khan 教授

Shaji Khan 聘请了一名律师为自己辩护,反对政府的指控。他要求州政府保留与此事件有关的所有记录,作为诉讼保留的一部分,停止“对 Shaji Khan 教授进行毫无根据的调查”,并“补偿他为自己免受各方毫无根据的指控辩护而产生的合理律师费,以及因为各方给他造成的巨大压力和干扰”。

到目前为止,Shaji Khan 教授向政府提出的终止调查指控以及索要赔偿和道歉要求并未得到回应。Shaji Khan 表示,如果诉求得不到满足,他将会考虑起诉政府,探索各种途径在法庭上解决不当行为。

有关网友的讨论可查看 reddit 上的两个帖子


来源:oschina