在媒體記者發(fā)現(xiàn)并負(fù)責(zé)任地披露了安全漏洞之后，密蘇里州州長(zhǎng) Mike Parson 卻威脅要對(duì)其采取法律行動(dòng)。《圣路易斯郵報(bào)》指出，該漏洞使得教師教育工作者的社保號(hào)碼暴露無(wú)遺且易于訪問(wèn)，于是他們很快向有關(guān)部門進(jìn)行了通報(bào)。

視頻截圖(來(lái)自：KMBC 9)

遺憾的是，盡管該報(bào)一直等到處于危險(xiǎn)狀態(tài)的 HTML 頁(yè)面被官方撤下才刊登相關(guān)文章，Mike Parson 還是無(wú)理地將報(bào)道記者稱作“黑客”，甚至要求縣檢察官對(duì)其發(fā)起調(diào)查。

由該報(bào)(Post-Dispatch)披露的信息可知，盡管明面上看不出來(lái)，但漏洞工具不僅可讓公眾查看教師們的證書，還在返回的頁(yè)面中暴露了員工的社保號(hào)碼。

正如 KrebsOnSecurity指出的那樣，只需通過(guò)鼠標(biāo)右鍵點(diǎn)擊頁(yè)面并“檢查網(wǎng)頁(yè)元素”，即可在源代碼中看出一些端倪。

事實(shí)上，爆料記者有嚴(yán)格遵循標(biāo)準(zhǔn)的漏洞報(bào)告與披露協(xié)議，但密蘇里州州長(zhǎng)還是對(duì)他不依不饒，搞得好像記者才是攻擊者、或出于惡意目的訪問(wèn)教師的隱私信息。

由 KMBC 9 分享的新聞發(fā)布會(huì)視頻片段可知，Mike Parson 無(wú)知地將記者的行為描述為“解密 HTML 源碼”—— 即便從本質(zhì)上來(lái)說(shuō)，這只是讓瀏覽器用戶簡(jiǎn)單地了解特定網(wǎng)站的工作原理。

在訪客向服務(wù)器發(fā)去請(qǐng)求之后，服務(wù)器會(huì)通過(guò)超文本傳輸協(xié)議將 HTML 文件發(fā)送到客戶計(jì)算機(jī)來(lái)解析，且該文件中包含的任何內(nèi)容都不是秘密。

此外盡管 Mike Parson 聲稱 DESE 網(wǎng)站上沒(méi)有任何允許用戶訪問(wèn)職工社保號(hào)碼的數(shù)據(jù)內(nèi)容，但它實(shí)質(zhì)上就是服務(wù)器端主動(dòng)、免費(fèi)提供的。