查看HTML代码却被当黑客,记者好心报告漏洞,反遭美国州长起诉
兴坤 发自 凹非寺
量子位 报道 | 公众号 QbitAI
本文经AI新媒体量子位(公众号 ID: QbitAI)授权转载,转载请联系出处
右键查看网页HTML源代码,这也能被当作黑客攻击行为?
你还别不信,被认定为黑客的当事人甚至面临刑事起诉,并且是州长亲自放话那种。
这究竟是怎么一回事呢?
一名记者偶然发现,密苏里州官方教师资格证查询网站,存在严重的系统安全漏洞。
仅仅通过查看网页HTML源代码,就能获取教师的身份证号码信息。
于是,他向政府教育部门报告了这个问题。
然而两天后,先于漏洞修复到来的,是州长即将对他发起刑事起诉。
“政府不会掉以轻心,”州长Mike Parson在周四的新闻发布会上发言,“本届政府绝不姑息任何试图窃取个人信息并会造成威胁的作恶者。”
而这个被州长认定为黑客攻击行为的“查看HTML源代码”,只要单击右键就能做到……
州长亲自起诉为哪般?
我们还是来捋一捋事情的来龙去脉。
说起来,这件事一点都不复杂。
一名《圣路易斯邮报》的记者在使用官方网站查询教育工作者的资格证时,偶然发现,可以从HTML源代码中,轻易获得教师的身份证号码信息。
记者发现这个漏洞后,随即报告给了维护该网站的政府教育部门。同时,记者所属报社也做出承诺,在修复漏洞期间不会发布任何相关信息。
区区一个前端错误,修复了就完事了,隐藏身份证号码信息也不是什么大难事。
但是州政府的解决方式却相当简单粗暴,直接关闭了整个网站。
网站虽然关掉了,事儿却还不算完。
州长反手就是一个新闻发布会,把这件事总结为“密苏里州一家新闻媒体进行的政治游戏”。
并且对于记者这种“试图让政府难堪,为新闻话题不择手段”的黑客行为,州长表示:“政府会通过法律制裁任何一个入侵我们系统的人,其中也包括帮助和教唆他们这样做的人。”
州长口中的黑客攻击是什么?
周二接到漏洞报告的政府部门,隔天就发布了新闻稿,将事件描述为:
黑客通过破译HTML源代码,盗取了至少三位教育工作者的身份证号信息。
而帮助记者验证漏洞存在的网络安全教授Shaji Khan,在这之后也遭受到政府的无端调查和指控。
验证网络安全漏洞十分简单,Shaji Khan教授仅仅是做了这几步动作:
访问任何人都可以无需登录进行访问的公共网站;
查看公开可用的源代码,任何人都可以在任何网页上的“查看”菜单选项下轻松完成;
识别“View State”源代码片段,其中可能包含此次安全漏洞的相关信息;
将源代码转为纯文本格式,这也可以由任何人完成。
整个过程短短几分钟内就可以完成,任何人都能做到。没有任何加密数据,也不需要密码,教师的身份证号码信息被自动发送给了每个访问网站的人。
Shaji Khan教授指出:在这件事情中,州政府违反了“禁止公开披露公民身份证号码”的法律,且未遵循“告知数据泄露受害者事件相关准确信息”的另一项法律规定。
“密苏里州教育部门将网络安全漏洞的责任从政府转移到了发现并做出汇报的公民身上。”Shaji Khan教授对政府的“甩锅”做法表示了谴责。
网友们也对州政府“重新定义黑客攻击”的行为表示很无语。
甚至有人开始讨论如何成为一名黑客精英,被动达成全民黑客成就。
到目前为止,Shaji Khan教授向政府提出的终止调查指控以及索要赔偿和道歉要求并未得到回应。Shaji Khan表示,如果诉求得不到满足,他将会考虑起诉政府。
参考链接:
https://missouriindependent.com/2021/10/14/missouri-governor-vows-criminal-prosecution-of-reporter-who-found-flaw-in-state-website/
https://arstechnica.com/tech-policy/2021/10/viewing-website-html-code-is-not-illegal-or-hacking-prof-tells-missouri-gov/?comments=1
推荐阅读:
黑客用GitHub服务器挖矿,三天跑了3万个任务,代码惊现中文
每日打卡赢积分兑换书籍入口