Az Egyesült Államokban egészen furcsa kanyarokat vett az a történet, amely abból indult ki, hogy egy újságíró felfedezte, hogy Missouri állam alap- és középfokú oktatásért felelős részlegének honlapjáról triviális eszközökkel olyan személyes információk nyerhetők ki, amelyeket nem szabadna elérhetővé tennie a munkáltatónak.

Josh Renaud, egy jelentősebb helyi lap, a St Louis Post-Dispatch riportere még tavaly októberben jött rá arra, hogy a szövetségi állam Department of Elementary and Secondary Education (DESE) elnevezésű, oktatási ügyekkel foglalkozó osztályának weboldaláról némi alap informatikai tudással is iskolai dolgozókhoz tartozó társadalombiztosítási számokat lehet kinyerni.

Az érzékeny és egyáltalán nem publikusnak szánt adatok megszerzéséhez az újságírónak elég volt a honlap nyilvános, kliensoldali forráskódjába belenézni (ehhez elég a böngészőnkben az F12 gombot megnyomni). Ugyan a társadalombiztosítási számok itt nem egyszerű szövegként, hanem Base64 kódolásban sorakoztak, ám ezek mindenféle biztonsági kulcs nélkül könnyedén átfordíthatók sima szöveges (pontosabban esetünkben számos) formátumra. 

Renaud a felfedezéséről egy cikkben számolt be, ami után rögtön beindult a felelősök keresése, csak éppen nem úgy, ahogy azt józan paraszti ésszel elvárná az ember.

Boszorkány(os hekker)üldözés

Missouri állam republikánus kormányzója ugyanis azonnal alapos vizsgálatot jelentett be, amelynek keretében az állam minden lehetséges jogi lehetőséget feltérképez majd. Utóbbiak célpontja pedig "természetesen" nem más, mint az újságíró, aki nyilvánosságra hozta az ügyet. Mike Parson egy tavaly októberi sajtótájékoztatón kifejtette, hogy a kódolt adatokhoz és rendszerekhez való hozzáférés mások személyes adatainak vizsgálata céljából törvénysértésnek minősül. A politikus szerint egyébként a felelőtlen akció járulékos költségei akár 50 millió dollárral is terhelhetik az adófizetők közös kasszáját.

A kormányzó hekkeléses vádját biztonsági és jogi szakértők egyaránt megrökönyödéssel fogadták. Egyrészt a Base64 formátumban kódolt társadalombiztosítási számok egyszerű szöveggé való átalakítása semmiképpen nem keverendő össze a titkosított adatok visszafejtésével. Egy közérthető példával élve: ha a dekódolás általában tiltott cselekedet lenne, akkor csak büntetés terhe mellett lehetne egyik nyelvről a másikra fordítani.

A Renaud anyagának elkészültekor szakértőnek felkért kiberbiztonsági professzor a vádemelési javaslatot meghallva pedig ügyvédjén keresztül tájékoztatta a kormányzat képviselőit, miszerint az üggyel kapcsolatos egyetlen jogsértést az állam követte el, amikor nem biztosította megfelelően alkalmazottai személyes adatait.

Úgy tűnik, szerencsére pozitív vége lesz a történetnek. A területileg illetékes Cole megyei ügyész ugyanis a héten bejelentette, nem emelnek vádat az újságíró ellen. Az ezzel kapcsolatban kiadott nyilatkozat ugyanakkor igyekszik kicsit kimosdatni az egészet kirobbantó kormányzót is azzal, hogy "szólnak érvek amellett, hogy törvénysértés történt", ennek ellenére "az ügy iratainak áttekintése alapján a nyomozás középpontjában álló kérdéseket sikerült nem jogi eszközökkel megoldani".    

Parson kormányzó a friss fejlemények után sem igazán váltott hangvételt. A sajtóosztály által kiadott tájékoztatás szerint az eset egyértelműen törvénysértés volt, amelynek kivizsgálását a kormányzat rendben elvégezte, a feltárt információkat pedig átadta az ügyészségnek. Utóbbi azonban végül úgy döntött, nem emel vádat.