在媒體記者發現並負責任地披露了安全漏洞之後,密蘇里州州長 Mike Parson 卻威脅要對其採取法律行動。《聖路易斯郵報》指出,該漏洞使得教師教育工作者的社保號碼暴露無遺且易於訪問,於是他們很快向有關部門進行了通報。
視頻截圖(來自:KMBC 9)
遺憾的是,儘管該報一直等到處於危險狀態的 HTML 頁面被官方撤下才刊登相關文章,Mike Parson 還是無理地將報道記者稱作“黑客”,甚至要求縣檢察官對其發起調查。
由該報(Post-Dispatch)披露的信息可知,儘管明面上看不出來,但漏洞工具不僅可讓公眾查看教師們的證書,還在返回的頁面中暴露了員工的社保號碼。
正如 KrebsOnSecurity 指出的那樣,只需通過鼠標右鍵點擊頁面並“檢查網頁元素”,即可在源代碼中看出一些端倪。
事實上,爆料記者有嚴格遵循標準的漏洞報告與披露協議,但密蘇里州州長還是對他不依不饒,搞得好像記者才是攻擊者、或出於惡意目的訪問教師的隱私信息。
由 KMBC 9 分享的新聞發布會視頻片段可知,Mike Parson 無知地將記者的行為描述為“解密 HTML 源碼”—— 即便從本質上來說,這只是讓瀏覽器用戶簡單地了解特定網站的工作原理。
在訪客向服務器發去請求之後,服務器會通過超文本傳輸協議將 HTML 文件發送到客戶計算機來解析,且該文件中包含的任何內容都不是秘密。
此外儘管 Mike Parson 聲稱 DESE 網站上沒有任何允許用戶訪問職工社保號碼的數據內容,但它實質上就是服務器端主動、免費提供的。