En redaksjonell utvikler i St. Louis Post-Dispatch blir truet med straffeforfølgelse og sivilt søksmål av guvernøren i den amerikanske delstaten Missouri, melder Wired.
Det skjer etter at lokalavisen oppdaget en sårbarhet i en offentlig webapplikasjon, som skal ha eksponert personnumrene til drøyt 100.000 lærere og annet personell i utdanningssektoren.
Ifølge avsløringen var personopplysningene blottlagt i HTML-koden til en nettjeneste der man kunne søke opp og sjekke lærernes kvalifikasjoner.
Post-Dispatch later til å ha fulgt spillereglene om etisk forsvarlig rapportering. Saken ble holdt igjen til etter at utdanningsetaten DESE tok ned sin sårbare løsning, som to uker senere fortsatt er nede for vedlikehold.
Hengt ut som kriminell
Journalisten blir hengt ut som en kriminell hacker av delstatens republikanske guvernør Mike Parson, som under en pressekonferanse fortalte at hans administrasjon vil slå ned på alle forsøk på å stjele persondata, samt at gjerningsmannen og alle involverte vil bli etterforsket.
Det synet møter imidlertid motstand, inkludert i egne rekker. Partifelle Tony Lovasco, som selv oppgir å ha en bakgrunn innen programvareutvikling, skriver på Twitter at guvernørens kontor åpenbart må ha misforstått, både hvordan webteknologi fungerer og bransjestandard for innrapportering av sårbarheter.
– Journalister som på ansvarlig vis varsler om personvernbrudd er ikke kriminell hacking, konstaterer Lovasco.
Vis kildekoden
Rapport: Folk slipper taket i passord og foretrekker passnøkler
Guvernøren blir nå latterliggjort i sosiale medier, der en rekke personer på forskjellige kreative måter prøver å forklare ham hvordan websider fungerer og at uthenting av data fra HTML-kildekoden ikke er ulovlig hacking.
Mange har valgt å svare på Mike Parsons utspill med ironi og sarkasme, her er en temmelig lang tråd med eksempler, som at de nettopp har hacket guvernøren ved å trykke F12 og påkalle utviklerverktøy i nettleseren.
– Ikke straffbart å avdekke idiotisk tabbe
En annen lokalavis, The Missouri Independent, som også dekker saken, har snakket med en sikkerhetsekspert kalt Chris Vickery.
Han mener at utdanningsetaten har gjort seg skyldig i å publisere data som de aldri burde ha lagt ut, og at det ikke kan være en kriminell handling å avdekke dette for journalister.
– Det å putte personnumre i HTML, selv om det ikke er synlig (uten å kikke i HTML-koden) er en idiotisk ting å gjøre for nettstedet, og det er en type dustefeil som har eksistert like lenge som weben. Det er ingen utnyttelse, hacking eller sårbarhet involvert i denne saken, sier Vickery til avisen.
Søkerlisten til Forsvarets IT-toppjobber klar: – Nytt at så mange kommer fra privat sektor