Missouri will “Hacker”, der Datenleck aufgedeckt hat, strafrechtlich verfolgen

  • Der Gouverneur von Missouri, Mike Parson, hat eine strafrechtliche Untersuchung gegen einen Reporter eingeleitet, der auf einer staatlichen Website über 100.000 Sozialversicherungsnummern von Lehrern und anderen Staatsbediensteten veröffentlicht hat.

    Die Zeitung St. Louis Post-Dispatch hat kürzlich einen großen Sicherheitsfehler entdeckt: Auf der Website der Bildungsbehörde des Bundesstaates Missouri waren über 100.000 Sozialversicherungsnummern von Lehrern, Verwaltungsangestellten und Beratern in ihrem HTML-Quellcode deutlich sichtbar angegeben.

    Die Zeitung überprüfte ihre Erkenntnisse mit einem Professor für Cybersicherheit und informierte dann am Dienstag die für die undichte Stelle verantwortliche Behörde – das Department of Elementary and Secondary Education (DESE). Noch am selben Tag nahm das DESE die betroffenen Seiten vom Netz. Am Mittwoch veröffentlichte die Zeitung ihre Geschichte, nachdem sie mit der Offenlegung der Sicherheitslücke gewartet hatte, bis die Seiten vom Netz genommen worden waren.

    Am nächsten Tag, am Donnerstagmorgen, erschießt ein nackter Kaiser den Boten, als der Gouverneur von Missouri, Mike Parson, mit rechtlichen Schritten gegen die Entdecker der Sicherheitslücke und die Personen, die ihnen geholfen haben könnten, droht.

    In einem mehrstufigen Prozess hat eine Person die Datensätze von mindestens drei Erziehern entnommen, den HTML-Quellcode entschlüsselt und die SSN dieser speziellen Erzieher eingesehen.

    Wir haben den Staatsanwalt von Cole County informiert, und die Digital Forensic Unit der Highway Patrol wird den Fall untersuchen. pic.twitter.com/2hkZNI1wXE

    – Gouverneur Mike Parson (@GovParsonMO) October 14, 2021

    Er nannte den ungenannten Journalisten einen “Hacker”, versprach, die Gerichte auf die Person zu hetzen, und sagte, der Staat werde versuchen, die Kosten für die Reaktion auf den Vorfall, die die Steuerzahler “bis zu 50 Millionen Dollar” kosten könnten, wieder hereinzuholen.

    Eine kurze Anleitung, wie man ein Source-Code-Sniffing ‘Hacker’ wird

    “Durch einen mehrstufigen Prozess”, so Parson, “hat eine Person die Datensätze von mindestens drei Erziehern entnommen, den HTML-Quellcode entschlüsselt und die Sozialversicherungsnummern dieser speziellen Erzieher eingesehen.”

    Das hört sich für diejenigen, die mit der Magie des Internets nicht vertraut sind, sicherlich ruchlos an, aber die Wahrheit ist, dass der HTML-Quellcode nur “verschlüsselt” wird, wenn er von einer Website zu einem Browser übertragen wird, der den HTML-Code automatisch “entschlüsselt”, denn das ist es, was Browser tun: Sie interpretieren HTML-Anweisungen.

    Jake Williams, Mitbegründer und CTO des Incident-Response-Anbieters BreachQuest, erklärte am Freitag gegenüber Threatpost, dass die Art und Weise, wie der Journalist die Schwachstelle entdeckte, “sicherlich kein Hacking im Sinne des Wortes ist”.

    Er fuhr fort: “Es scheint, dass der Reporter eine öffentlich zugängliche Webanwendung verwendet hat, die die Suche nach Lehrerzertifikaten erleichtern soll. Als die Ergebnisse angezeigt wurden, sah sich der Reporter einfach den Quellcode der Webseite an und fand die Sozialversicherungsnummern. Während Gouverneur Parson behauptete, der Reporter habe den HTML-Quellcode entschlüsselt, benutzte er in Wirklichkeit einfach die Funktion, die seit den Anfängen des Internets in jeden Webbrowser eingebaut ist.”

    Williams erklärte, dass, da HTTP zustandslos ist, viele Webanwendungen ihren Status in versteckten Formularfeldern speichern, damit sie bei jeder Anfrage vom Browser an den Server zurückgegeben werden können. “Es ist wahrscheinlich, dass diese versteckten Formularfelder die Sozialversicherungsnummer des Lehrers enthalten”, schlug er vor.

    Die Post-Dispatch berichtete, dass sie die Sozialversicherungsnummern im HTML-Quellcode der Seiten der Website gefunden hatte, die aufgrund einer Schwachstelle in einer Webanwendung offengelegt wurden, die es der Öffentlichkeit ermöglichte, Lehrerzertifikate und -nachweise zu suchen. Andere private Informationen waren nicht ersichtlich.

    Das bedeutet, dass sie für jeden mit einem Webbrowser öffentlich zugänglich waren, der sich entschloss, den öffentlichen Code der Website zu untersuchen.

    Wie Williams vorschlug, ist dies ein Kinderspiel. Jeder gängige Browser ermöglicht die Display des HTML-Quellcodes einer beliebigen Webseite mithilfe der Entwicklerwerkzeuge des Browsers. In Chrome beispielsweise können Sie den Quellcode einer Seite anzeigen, indem Sie auf die drei Punkte oben rechts klicken, “Weitere Tools” auswählen und dann auf “Entwicklertools” klicken (siehe Abbildung unten).

    [Blocked Image: https://threatpost.com/files/2021/10/developer-tools.bmp]

    Entwicklertools in Chrome.

    Noch einfacher ist es, wenn Sie Strg+U auf Ihrer Tastatur oder Opt+Befehl+U auf einer Mac-Tastatur drücken. Und schon ist er da: Der Quellcode einer Seite wird angezeigt. Ein Beispiel dafür, wie der Quellcode aussieht, für diejenigen, die diese leicht zugänglichen Daten noch nie unter die Lupe genommen haben, finden Sie unten:

    [Blocked Image: https://threatpost.com/files/2021/10/source-code.bmp]

    Der Quellcode einer Website.

    Überprüfen, was sie gesehen haben

    Die Post-Dispatch wandte sich an Shaji Khan, einen Professor für Cybersicherheit an der University of Missouri in St. Louis, um zu überprüfen, was sie gefunden hatte. Er bestätigte, dass es sich um einen “schwerwiegenden Fehler” handelte und dass es “verblüffend” war, diese Art von Schwachstelle in der DESE-Web-App zu finden.

    Der Professor forderte den Staat auf, seine Anwendungen zu überprüfen, um sicherzustellen, dass ähnliche Schwachstellen ausgemerzt werden. Das DESE hat Berichten zufolge am Dienstag eine Prüfung eingeleitet, die am Mittwoch noch andauerte, aber noch keine weiteren Fälle des Fehlers aufgedeckt hat.

    Auf jeden Fall ist es nicht die erste Einrichtung, die Quellcode-Sünden begeht. So berichtete der Datenwissenschaftler David Stier im Jahr 2019, dass der Quellcode der Instagram-Website monatelang einige Nutzerprofile mit Telefonnummern und E-Mails anzeigte: Daten, die auf öffentlichen Seiten nicht verfügbar waren.

    Es ist nicht klar, wie lange die Sozialversicherungsnummern auf der DESE-Website zugänglich waren und ob jemand mit bösen Absichten auf die Daten zugegriffen hat.

    Ein ‘Versuch, den Staat zu blamieren und Schlagzeilen zu verkaufen’

    Unabhängig davon, wie leicht es angeblich war, an die sensiblen Informationen zu gelangen, wurde der Journalist der Post-Dispatch, der sie entdeckt hatte, als krimineller “Hacker” denunziert, zunächst in einer Erklärung der Bildungsbehörde und dann vom Gouverneur.

    “Nichts auf DESEs [the Department of Elementary and Secondary Education’s] Website gab es keine Erlaubnis oder Autorisierung für diese Person, auf Lehrerdaten zuzugreifen”, behauptete der Gouverneur während seines Pressebriefings am Donnerstag und deutete an, dass der Journalist nur “Schlagzeilen verkaufen” wollte.

    “Diese Person ist kein Opfer”, erklärte Parson. “Sie hat gegen die staatliche Behörde gehandelt, um die persönlichen Daten von Lehrern zu kompromittieren, um den Staat in Verlegenheit zu bringen und Schlagzeilen für die Presse zu verkaufen. Wir werden nicht zulassen, dass dieses Verbrechen gegen Lehrer in Missouri ungestraft bleibt. Und wir weigern uns, sie zum Spielball des politischen Rachefeldzugs der Zeitungen werden zu lassen.”

    Parson fügte hinzu, dass seine Regierung “sich gegen alle Täter wehrt, die versuchen, persönliche Informationen zu stehlen und Missourianer zu schädigen. Es ist ungesetzlich, auf verschlüsselte Daten und Systeme zuzugreifen, um die persönlichen Informationen anderer Leute zu untersuchen.”

    Der Gouverneur informierte die Staatsanwaltschaft von Cole County über die Angelegenheit, ebenso wie die digitale forensische Einheit der Missouri State Highway Patrol, die, wie er sagte, ebenfalls “eine Untersuchung aller Beteiligten” durchführen wird.

    Unten finden Sie die vollständige Pressekonferenz des Gouverneurs.

    Wie wäre es, wenn wir uns auf den Fehler konzentrieren, anstatt zu peitschen?

    Tim Wade, technischer Direktor und CTO-Team beim KI-Cybersicherheitsunternehmen Vectra, sagte, dass der Aufruhr die Notwendigkeit unterstreicht, Sicherheitsforscher zu schützen, die im öffentlichen Interesse arbeiten. Er schlug vor, dass ein kluger Weg darin bestünde, den Spleen, der sich gegen Bug-Finder richtet, umzulenken und diese Energie stattdessen auf die Ursachen zu konzentrieren, warum diese Sicherheitsmängel weiterhin auftreten.

    Rechtlich gesehen sieht er keinen Grund für das Säbelrasseln. “Die Gerichte erkennen die Grenzen des Schutzes vor unrechtmäßigen Durchsuchungen an, wenn Aktivitäten eindeutig in einem öffentlichen Kontext stattfinden”, so Wade. “Es ist schwer vorstellbar, dass die geringe technische Raffinesse der beschriebenen Verhaltensweisen mit einem so gewöhnlichen Werkzeug wie einem Webbrowser etwas anderes darstellt als das digitale Äquivalent von Beobachtungen, die in einem öffentlichen Kontext gemacht werden.”

    Andere Sicherheitsexperten stimmten dem zu. Williams sagte, dass Parson sich nicht auf dieses so genannte “Hacking” konzentrieren sollte, sondern sich eher um die Sicherheit der staatlichen Anwendungen sorgen sollte, insbesondere derjenigen, die für die Öffentlichkeit zugänglich sind.

    Ehrlich gesagt, sollte es dem Staat peinlich sein, im Jahr 2021 eine solche Schwachstelle zu finden, so Williams. Aber es ist nicht das erste Mal, dass “ein Politiker aus allen Rohren feuert und behauptet, dass der Zugriff auf öffentlich zugängliche Informationen ein Hacking sei”, merkte er an und bezog sich dabei auf einen Vorfall aus dem Jahr 2017, bei dem der damalige Staatssekretär von Georgia, Brian Kemp, behauptete, dass Wählerdaten, die aus einem offenen Verzeichnis auf einem Webserver des Kennesaw State entnommen wurden, ebenfalls ein “Hacking” darstellen.

    “Das ist nicht gerade gut gealtert, und es wurde nie Anklage erhoben”, sagte Williams per E-Mail.

    Zieh dir schon mal eine Hose an

    Aber hey, das ist alles typisch für Politiker, wie John Bambenek, Chef der Bedrohungsjäger bei Netenrich, einem Unternehmen für digitale IT- und Sicherheitsoperationen, feststellte. “In der gesamten Menschheitsgeschichte haben Kaiser auf die Behauptung, sie hätten keine Kleider an, mit Wutausbrüchen auf die Dreistigkeit derjenigen reagiert, die es wagen, so etwas zu sagen”, so Bambenek gegenüber Threatpost.

    “Das Leben wäre besser, wenn sie sich einfach Hosen anziehen würden”, sagte Bambenek. “Die Verantwortlichen in der Regierung sollten sich bei denjenigen bedanken, die die Regierung auf Probleme aufmerksam machen, anstatt sie zu bedrohen. Ich bin mir sicher, dass jeder kriminelle Hacker auf diesem Planeten diese Tirade bemerkt hat und Sie können darauf wetten, dass sie ihre Ziele entsprechend anpassen.

    Informieren Sie sich über unsere kostenlosen Live- und On-Demand-Online-Rathäuser – einzigartige, dynamische Diskussionen mit Cybersicherheitsexperten und der Threatpost-Community.

    Einige Teile dieses Artikels stammen aus:
    threatpost.com