image

Journalist die datalek via html-broncode ontdekte waarschijnlijk vervolgd

vrijdag 31 december 2021, 11:42 door Redactie, 34 reacties

Een Amerikaanse journalist die door het bekijken van html-broncode een datalek in een overheidssite ontdekte zal waarschijnlijk worden vervolgd, zo denkt gouverneur Mike Parson van de Amerikaanse staat Missouri. Door het datalek waren social-securitynummers en andere gevoelige informatie van meer dan honderdduizend leraren voor iedereen op internet toegankelijk.

Via de website van het ministerie van Onderwijs van Missouri is het mogelijk om op leraren te zoeken en hun diploma's en referenties te bekijken. De social-securitynummers en andere gegevens van meer dan honderdduizend leraren waren niet op de betreffende pagina's direct zichtbaar, maar wel via de html-broncode te achterhalen. Een verslaggever van de St. Louis Post-Dispatch, tevens webontwikkelaar, ontdekte en meldde de kwetsbaarheid aan het ministerie, waarna de zoektool werd uitgeschakeld en de code aangepast.

Vervolgens publiceerde de journalist, die in totaal drie social-securitynummers had bekeken, het verhaal over het datalek. Parson was zeer ontstemd over de werkwijze van de journalist en publicatie en dreigde met juridische stappen. Afgelopen woensdag werd Parson gevraagd wat hij zou doen als de openbaar aanklager de journalist niet zou vervolgen. "Ik denk niet dat dat het geval zal zijn", aldus de gouverneur. Daarbij stelde hij dat het niet is toegestaan om zonder toestemming data aan te passen, te vernietigen of te stelen.

"Wanneer iemand het slot van je voordeur opent, voor welke reden dan ook, ook al is het geen goed slot, of is het een goedkoop slot of welk probleem je dan ook hebt, hebben ze niet het recht om je huis te betreden en je bezit mee te nemen", merkte Parson op. De gouverneur liet eerder nog weten dat het datalek de staat mogelijk 50 miljoen dollar zou kosten. Oorspronkelijk was de staat van plan om de journalist voor zijn melding te bedanken, maar daar werd in de uiteindelijke verklaring van afgezien, zo meldt de St. Louis Post-Dispatch.

Image

Reacties (34)
31-12-2021, 12:13 door karma4
Het gaat om niet zichtbare maar wel meegestuurde gegevens waar in het geheel geen beveiliging op staat .
Grote kans dat die inhoud in zoekmachines meegenomen wordt omdat iedereen het kan zien.

Hoe kan het dat een politicus zo'n ander fout idee heeft?
31-12-2021, 12:21 door Anoniem
Door karma4: Hoe kan het dat een politicus zo'n ander fout idee heeft?
Het spelletje heet hier blame the messenger, val degene aan die de gaten in jouw beveiliging laat zien.
31-12-2021, 12:22 door Anoniem
Dus je vraagt om informatie (HTTP request), je krijgt die informatie (HTTP response) en je bekijkt die vervolgens. Hoe is dat een hack?? Wat een dom figuur.
31-12-2021, 12:22 door Anoniem
Door karma4: Het gaat om niet zichtbare maar wel meegestuurde gegevens waar in het geheel geen beveiliging op staat .
Grote kans dat die inhoud in zoekmachines meegenomen wordt omdat iedereen het kan zien.

Hoe kan het dat een politicus zo'n ander fout idee heeft?

Omdat hij zijn eigen incompetentie wil afdekken?
Politici hebben over het algemeen niet echt directe kennis in dit soort zaken.
En het is natuurlijk ook de eigen politieke carrière veiligstellen naar zijn kiezers toe.

"Hackers" = bad people = punishment = votes ;)
31-12-2021, 12:23 door Anoniem
De volgende keer gelijk goed doen, alle data stelen en publiekelijk maken.

Beetje Russische trekjes als je dit als journalist of onderzoeker niet meer kan.
31-12-2021, 12:26 door Anoniem
Vergelijkt Parson nu echt broncode bekijken met een slot?
31-12-2021, 12:36 door Anoniem
Door karma4: Hoe kan het dat een politicus zo'n ander fout idee heeft?

Dat is omdat sommige politici de uitgedraaide bonnetjes aanzien voor de kassa.
31-12-2021, 13:00 door [Account Verwijderd]
In de US voortaan oppassen i.p.v. de F11 toets (full screen mode) per abuis de naastliggende F12 toets (Inspector) aan te raken.

Voor je het weet word je door een zwaarbewapende Amerikaanse overmacht van leger en politie uit je bed gesleurd op verdenking van voorbereiding van een aanslag met terroristisch motief.
31-12-2021, 13:06 door Anoniem
Ik ben wel benieuwd naar welke 8 stappen het zijn waar over gesproken wordt, dat kan ook nogal verschil maken in de (al dan niet aanwezige) complexiteit van wat de journalist heeft gedaan.
31-12-2021, 13:08 door [Account Verwijderd] - Bijgewerkt: 31-12-2021, 13:09
Door karma4: Het gaat om niet zichtbare maar wel meegestuurde gegevens waar in het geheel geen beveiliging op staat .
Grote kans dat die inhoud in zoekmachines meegenomen wordt omdat iedereen het kan zien.

Hoe kan het dat een politicus zo'n ander fout idee heeft?

Je moet nalaten een hoge pet op te zetten m.b.t. republikeinse politici in het algemeen aldaar (US)
Wie kent niet de Oostenrijkse spiermassakweker die gouverneur is van California?
31-12-2021, 13:12 door Anoniem
Door Ard van Wiersum:
Door karma4: Het gaat om niet zichtbare maar wel meegestuurde gegevens waar in het geheel geen beveiliging op staat .
Grote kans dat die inhoud in zoekmachines meegenomen wordt omdat iedereen het kan zien.

Hoe kan het dat een politicus zo'n ander fout idee heeft?

Je moet nalaten een hoge pet op te zetten m.b.t. republikeinse politici in het algemeen aldaar (US)
Wie kent niet de Oostenrijkse spiermassakweker die gouverneur is van California?

Arnie is al een tijdje geen govenator meer hoor ;)
31-12-2021, 13:15 door Briolet
Als de journalist al vervolgd wordt, wat doen ze dan met de programmeur? Elektrische stoel?
31-12-2021, 13:16 door Anoniem
Maar moet men dan een online DOM-scanner ook niet sluiten.
Of alle online website beveiligingsscanners.
Alles is te scannen, behalve brakke overheidssites.
Verboten.

Een soort "A.U.B., niet schieten op de pianist" verhaal.
Of een gevalletje doordravend totalitarisme door politieke bragging nitwits.

Gekker als in de States kan het toch niet worden,
of is het nooit geweest behalve hier dan.

En overal krijgen we er globaal straks al mee te maken,
met dit soort 'gladiolen'.

Dat wordt nog een leuk jaartje, dat 2022.
Saturnaal met al die tweetjes, reken maar!

luntrus
31-12-2021, 13:26 door Anoniem
"Did the person commit the offense of tampering with computer..."
Broncode-bekijken is geen computer tampering.

"Disclosure or takes data"
Is er informatie openbaar gemaakt? En 'take data'? Nee, er is via een browser om gevraagd en die is gegeven. Niks 'take'.

"Taking personal information out of the system"
Zelfde als hierboven. Niks 'take', vraag en krijg.

"Having access to a computer that you don't have a right to be in"
Is niet het geval. De gegevens zijn niet op een systeem bekijken waar ze niet in hoorden te zijn. Het is lokaal in de browser bekeken.

"Removes that information and shares that information"
Onbreekt er nu ergens informatie? Nee? Dan geen 'remove'.

Conclusie: gelul van iemand die de ballen verstand heeft van computers en het internet. Moet niet moeilijk zijn om deze zaak te winnen.
31-12-2021, 13:30 door Anoniem
Je moet nalaten een hoge pet op te zetten m.b.t. republikeinse politici in het algemeen aldaar (US)
Wie kent niet de Oostenrijkse spiermassakweker die gouverneur is van California?
Het is niet echt netjes om op de man te spelen en mensen publiekelijk neer te halen.
31-12-2021, 14:16 door [Account Verwijderd] - Bijgewerkt: 31-12-2021, 14:17
---
31-12-2021, 14:18 door [Account Verwijderd]
Door Anoniem:
Door Ard van Wiersum:
Door karma4: Het gaat om niet zichtbare maar wel meegestuurde gegevens waar in het geheel geen beveiliging op staat .
Grote kans dat die inhoud in zoekmachines meegenomen wordt omdat iedereen het kan zien.

Hoe kan het dat een politicus zo'n ander fout idee heeft?

Je moet nalaten een hoge pet op te zetten m.b.t. republikeinse politici in het algemeen aldaar (US)
Wie kent niet de Oostenrijkse spiermassakweker die gouverneur is van California?

Arnie is al een tijdje geen govenator meer hoor ;)

Dat klopt. Mijn excuses voor de misvatting, want ik zie nu pas dat ik het voltooid deelwoord van 'zijn' achter 'is' (d.i. 'geweest') ben vergeten.
Meestal vallen mij fouten in mijn tekst wel op. Vandaar ook vaak de correcties achteraf. Nu had ik er overheen gekeken.
31-12-2021, 14:18 door karma4
Door Anoniem:
Door karma4: Hoe kan het dat een politicus zo'n ander fout idee heeft?
Het spelletje heet hier blame the messenger, val degene aan die de gaten in jouw beveiliging laat zien.
Dat is duidelijk, eens

Door Ard van Wiersum: ...Je moet nalaten een hoge pet op te zetten m.b.t. republikeinse politici in het algemeen aldaar (US). Wie kent niet de Oostenrijkse spiermassakweker die gouverneur is van California?
.
Die spiermassakweker leek me nog redelijker dan de Putin-vazal. Gewoon met je eens.

Door Anoniem: Omdat hij zijn eigen incompetentie wil afdekken?
Politici hebben over het algemeen niet echt directe kennis in dit soort zaken.
En het is natuurlijk ook de eigen politieke carrière veiligstellen naar zijn kiezers toe.

"Hackers" = bad people = punishment = votes ;)
Eens, zeer herkenbaar. Ook in Nederland een gebezigde praktijk.
31-12-2021, 14:19 door Anoniem
Volgens een artikel in Ars Technica uit oktober[1] zat de informatie in de "view state" van een pagina. Dat is iets van Microsoft's ASP.NET, dat de mogelijkheid heeft om sessiegegevens niet op de server bij te houden maar als verborgen formulierveld in webpagina's op te nemen, zodat ze in de volgende request weer meegaan naar de server. De view state is base64-gecodeerde XML. Het kan versleuteld worden, maar dat is optioneel, en dat was hier kennelijk niet gebeurd. Base64 is natuurlijk heel makkelijk te decoderen.

[1] https://arstechnica.com/tech-policy/2021/10/viewing-website-html-code-is-not-illegal-or-hacking-prof-tells-missouri-gov/
31-12-2021, 16:14 door Anoniem
Ongelooflijk wat een triestheid. Hoelang zal het duren voordat dit ook in NL wordt gebezigd?
31-12-2021, 16:14 door Anoniem
Dat Putin-vazal Gladio 2021/22 overal poneren, mag ook wel eens achterwege gelaten worden.
Wat is het verschil tussen een hacker, die als Rus poseert vanuit Kiev en andersom?

Zijn we in dagen terug beland, die we alleen kenden van voor 1989?
En van de Chinezen geen slecht woord, want elitaire bondgenoten toch.

Alles zonder de Fed overheersing was en is slecht, de Czar eertijds, nu Putin en ook Iran.
Als de bolsjewiki ons hadden kunnen overlopen in 1921 hadden we het nu allemaal over "vliegende muizen" gehad.
Dat in plaats van vleermuizen net zoals het in het Russisch is.

luntrus
31-12-2021, 17:00 door [Account Verwijderd] - Bijgewerkt: 31-12-2021, 17:03
Door Anoniem: Dus je vraagt om informatie (HTTP request), je krijgt die informatie (HTTP response) en je bekijkt die vervolgens. Hoe is dat een hack?? Wat een dom figuur.

Bii 'normaal' gebruik in de webbrowser zie je de in het artikel genoemde extra informatie niet. Buiten normaal gebruik om de broncode van een webpagina gaan opvragen met bv. view-source: voor de URL, dat is oneigenlijk gebruik voor die lui. Je moet heel erg oppassen met het vanuit een technisch perspectief kijken naar dergelijke zaken. Daar kan een politicus en zelfs een rechter heel anders over denken.
31-12-2021, 17:24 door Anoniem
Dus je moet in dat geval al voorzichtig zijn met gegevens die j ziet via Ctrl+Shift+I.
Dorkje gedaan en in de boeien geslagen.

Kunnen ze dan niet vast gelijk alle developers in de USA in de slammer gooien.

Je mag alleen nog meedoen met de maatschappij als allergrootste collaborerende idioot en nitwit.

Iets meer hersens dan de doornee politicus en je bent "gezien" of wordt opgeborgen.

En de allergrootste boeven mogen er vrij blijven rondlopen en gaan niet slapen bij de vissen.....
Integendeel, ze genieten protectie omdat de waarheid leugen moet blijven en andersom.

Hoe een imperium aan de volledige ondergang begonnen schijnt,
om met termen uit het verleden te spreken: "Redeloos, reddeloos, radeloos" volk.
31-12-2021, 20:35 door Anoniem
Pas als de Disney film hierover uitkomt die je eerst gezien moet hebben, kun je er een genuanceerd oordeel over geven.
31-12-2021, 22:26 door Anoniem
Door Toje Fos:
Door Anoniem: Dus je vraagt om informatie (HTTP request), je krijgt die informatie (HTTP response) en je bekijkt die vervolgens. Hoe is dat een hack?? Wat een dom figuur.

Bii 'normaal' gebruik in de webbrowser zie je de in het artikel genoemde extra informatie niet. Buiten normaal gebruik om de broncode van een webpagina gaan opvragen met bv. view-source: voor de URL, dat is oneigenlijk gebruik voor die lui. Je moet heel erg oppassen met het vanuit een technisch perspectief kijken naar dergelijke zaken. Daar kan een politicus en zelfs een rechter heel anders over denken.
De broncode inzien is normale functionaliteit van de browser. De bewuste data zal daar ook niet ingestaan hebben, maar waarschijnlijk wel een hint naar het pad? Als dat wel zo is is die gast helemaal van god los.
01-01-2022, 09:07 door [Account Verwijderd] - Bijgewerkt: 01-01-2022, 09:07
Door Anoniem: Dus je moet in dat geval al voorzichtig zijn met gegevens die j ziet via Ctrl+Shift+I.
...

Ho! Wacht even! Drie toetsen tegelijkertijd en dan ook nog met Ctrl erbij?! Het is toch een soort hackersleutel die je in een slot steekt, zeker met die Ctrl erbij. Kun je uitleggen waarom je überhaupt kennis hebt van dergelijke hackertoetsen? Dat wordt echt een probleem bij de douane op jouw volgende vlucht naar de VS.
01-01-2022, 15:55 door Briolet
Door Anoniem: …Conclusie: gelul van iemand die de ballen verstand heeft van computers en het internet. Moet niet moeilijk zijn om deze zaak te winnen.

In de VS hebben ze een jury rechtspraak waarbij de jury juist uit leken voor dat onderwerp bestaat. Beide partijen moeten de jury overtuigen van hun gelijk. B.v. door 'experts' uit beide kampen op te roepen. En die jury heeft dus hetzelfde "ballen verstand heeft van computers en het internet".
01-01-2022, 16:22 door Anoniem
In een GOP-staat is zoiets perfect denkbaar. Die journalist zal geluk moeten hebben dat de rechter een IT-achtergrond heeft - of hij hangt. Helaas is dat de realiteit - en als wij niet oppassen gaan ook wij die richting uit. Laten we meer gezond verstand bij politiek en gerecht wensen voor 2022.
01-01-2022, 17:30 door Anoniem
Door Anoniem: De broncode inzien is normale functionaliteit van de browser. De bewuste data zal daar ook niet ingestaan hebben, maar waarschijnlijk wel een hint naar het pad? Als dat wel zo is is die gast helemaal van god los.
Jawel, het stond als base64-encoded XML in de pagina zelf, in een verborgen formulierveld dat ASP.NET gebruikt als een van de mogelijkheden om sessiestaat bij te houden. Zie gisteren, 14:19.
02-01-2022, 10:29 door Anoniem
Door Anoniem: In een GOP-staat is zoiets perfect denkbaar. Die journalist zal geluk moeten hebben dat de rechter een IT-achtergrond heeft - of hij hangt. Helaas is dat de realiteit - en als wij niet oppassen gaan ook wij die richting uit. Laten we meer gezond verstand bij politiek en gerecht wensen voor 2022.
Bij ons dreigen partijen met tribunalen, dus pas maar op!
02-01-2022, 11:20 door spatieman
dus google mag zich ook verantwoorden ?
als die meuk echt in de html staat, dan staat het geindext bij google in de cache.
02-01-2022, 12:08 door [Account Verwijderd] - Bijgewerkt: 02-01-2022, 12:10
Door Anoniem, 01-01-'22, 16:22uur: In een GOP-staat is zoiets perfect denkbaar. Die journalist zal geluk moeten hebben dat de rechter een IT-achtergrond heeft - of hij hangt. Helaas is dat de realiteit - en als wij niet oppassen gaan ook wij die richting uit. Laten we meer gezond verstand bij politiek en gerecht wensen voor 2022.

Indien dit tot een veroordeling komt is die Parson er de oorzaak van dat in de US iedereen met voldoende kennis van IT om lekken te vinden, zelfs niet meer tot tien gaat tellen om in de openbaarheid te treden als hij/zij er een vind; hij/zij gaat zijn mond stijf dicht houden!

Deze Parson (tjee... 't zal weer eens géén Republikein zijn) en/of zijn voorlichters zijn ronduit gevaarlijke IT dumbo's.

En dat gevaar werkt twee kanten uit:
Degenen die dus de kennis hebben om IT flaws te zien, gaan hun mond houden als zij fouten opmerken, met als indirect gevolg dat degenen die crimineel misbruik maken van IT technologie meer vrij spel krijgen omdat - ook weer - degenen die deze reconnaissance graag, al of niet belangeloos, voor hun rekening nemen er géén zin meer in gaan krijgen.

Kortom: het eerste slechte IT nieuws van 2022 voor de US is weer volop in de maak.

P.s. Dat dit de rechtspraak in Nederland gaat beïnvloeden zie ik niet zo snel gebeuren. Wij kennen namelijk geen jury rechtspraak.
02-01-2022, 16:09 door Anoniem
Eigenlijk is dit een aspect van hoe of men individueel gedrag wil vervangen door collectief aangestuurd geprefereerd gedrag.

Lukt dat, dan is er, zoals ook uit het onderhavige geval blijkt weinig ruimte meer over voor het individu (pentester, security researcher of niet). Men gaat hiermee maar door, al lang geen resource engineeren meer mogelijk, bepaald soort scans verboten. Security through obscurity. Wat niet weet, wat niet deert & kan ons slechts rijker maken. Zoiets.

Zoveel mogelijk kennis bij de massa en het individu weghouden en degenen, die dat willen doorbreken wegjorissen, censureren, belachelijk maken, defacen etc. Het wordt steeds enger online. De domheid en middelmatigheid en gezapigheid regeren. Ralph Demolka, the demolition man, rules almost everywhere. The going gets narrow. De vrijheid van nog even geleden schijnt verdwenen. Fact-checkers overal, massa media controle, nep nieuws bestrijders, Ruzzian-bashers. Het houdt niet op.

Is dit nu alleen maar mijn visie dat het "enger" wordt online, of zijn er nog enkelen, die dit ook zo zien?

#sockpuppet


luntrus
04-01-2022, 08:43 door cisootje
Door Anoniem: Ongelooflijk wat een triestheid. Hoelang zal het duren voordat dit ook in NL wordt gebezigd?
Heel binnenkort met zo'n staatssecretaris op Digitalisering...
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.