the|美媒合规披露教职网站安全漏洞却遭密苏里州长法律威胁_美媒合规披露教职网站安全漏

在媒体采访人员发现并负责任地披露了安全漏洞之后，密苏里州州长 Mike Parson 却威胁要对其采取法律行动。《圣路易斯邮报》指出，该漏洞使得教师教育工作者的社保号码暴露无遗且易于访问，于是他们很快向有关部门进行了通报。

文章图片

视频截图（来自：KMBC 9）
遗憾的是，尽管该报一直等到处于危险状态的 HTML 页面被官方撤下才刊登相关文章， Mike Parson 还是无理地将报道采访人员称作“黑客” ，甚至要求县检察官对其发起调查。
由该报（Post-Dispatch）披露的信息可知，尽管明面上看不出来，但漏洞工具不仅可让公众查看教师们的证书，还在返回的页面中暴露了员工的社保号码。
正如 KrebsOnSecurity 指出的那样，只需通过鼠标右键点击页面并“检查网页元素” ，即可在源代码中看出一些端倪。

文章图片

事实上，爆料采访人员有严格遵循标准的漏洞报告与披露协议，但密苏里州州长还是对他不依不饶，搞得好像采访人员才是攻击者、或出于恶意目的访问教师的隐私信息。
由 KMBC 9 分享的新闻发布会视频片段可知， Mike Parson 无知地将采访人员的行为描述为“解密 HTML 源码”—— 即便从本质上来说，这只是让浏览器用户简单地了解特定网站的工作原理。
在访客向服务器发去请求之后，服务器会通过超文本传输协议将 HTML 文件发送到客户计算机来解析，且该文件中包含的任何内容都不是秘密。
【the|美媒合规披露教职网站安全漏洞却遭密苏里州长法律威胁】此外尽管 Mike Parson 声称 DESE 网站上没有任何允许用户访问职工社保号码的数据内容，但它实质上就是服务器端主动、免费提供的。