Phát hiện ra lỗ hổng bảo mật trong website của bang, phóng viên bị thống đốc bang dọa truy tố

Thống đốc bang Missouri, ông Mike Parson đang phải đối mặt với làn sóng chỉ trích dữ dội khi dọa truy tố một phóng viên đã phát hiện và báo cáo về một lỗ hổng an ninh nghiêm trọng trong website của bang.

Đầu tuần này, phóng Josh Renaud của tờ St. Louis Post-Dispatch đã báo cáo về một lỗ hổng trong website của Bộ Giáo dục Tiểu học và Trung học (DESE) thuộc bang Missouri khi nó làm tiết lộ số an sinh xã hội của hơn 100.000 giáo viên. Cách thức thực hiện điều này lại rất đơn giản, khi chỉ cần xem mã nguồn HTML của trang web thông qua thao tác chuột phải vào chỗ bất kỳ trên website và chọn phần "View Page Source". Đơn giản hơn nữa là ấn nút F12 trên bàn phím.

Tờ Post-Dispatch cũng nhanh chóng thông báo cho cơ quan này về lỗ hổng trên và chỉ công bố câu chuyện sau khi trì hoãn đủ thời gian để lỗ hổng này được vá. DESE sau đó cũng thừa nhận lỗi trong công cụ tìm kiếm của họ và vá lại lỗ hổng này.

Nhẽ ra câu chuyện có thể kết thúc ở đây. Ở nhiều nơi khác, tờ báo có thể còn được vinh danh vì phát hiện ra lỗ hổng nghiêm trọng này và thông báo kịp thời trước khi đăng tải câu chuyện.

Thế nhưng thống đốc bang Missouri, Mike Parson lại chọn cách xử lý "cồng kềnh" hơn khi gọi Josh Renaud, phóng viên phát hiện ra lỗ hổng, là một hacker và cho rằng, việc tờ báo đăng tải lỗ hổng này là một "nỗ lực làm xấu mặt bang."

"Hacker là kẻ chiếm quyền truy cập trái phép thông tin hoặc nội dung. Cá nhân này không được phép làm những gì họ đã làm." Ông Parson cho biết trong thông cáo báo chí. "Cá nhân này không phải là nạn nhân. Họ đang hành động chống lại một cơ quan nhà nước để xâm hại thông tin cá nhân của giáo viên trong nỗ lực làm xấu mặt bang và bán các dòng tít cho cơ quan báo chí của họ."

Ông Parson cho biết thêm: "Bang cam kết sẽ đưa ra công lý bất kỳ ai hack vào hệ thống của chúng tôi và bất kỳ ai hỗ trợ và tiếp tay cho họ làm như vậy. Thống đốc cũng đã chuyển vụ việc này cho các công tố viên quận."

Không mấy ngạc nhiên khi phản ứng của thống đốc bang lại gặp phải sự phản ứng dữ dội ngay cả chính trong đảng của mình. Không chỉ vì lời đe dọa của thống đốc bang đối với phóng viên mà còn vì tuyên bố gây hiểu nhầm của ông khi gọi phóng viên này là một hacker.

Thượng nghị sĩ Ron Wyden cho biết trên Twitter: "Báo chí không phải tội phạm. Nhà nghiên cứu bảo mật cũng vậy. Những nhà lãnh đạo thực sự sẽ không thả các con chó dữ của mình nhắm vào báo chí khi họ vạch trần các thất bại của chính phủ, họ sẽ xắn tay áo lên và sửa chữa lỗi lầm."

Tờ báo Post-Dispatch cũng phản pháo lại tuyên bố của ông Parson và cho rằng, Renaud đã "làm một việc có trách nhiệm khi báo cáo về phát hiện của mình với DESE để bang có thể hành động nhằm ngăn chặn việc tiết lộ và lạm dụng."

"Một hacker là kẻ phá hoại bảo mật máy tính bằng mã độc hoặc có mục đích xấu. Còn ở đây, không có bất kỳ sự vi phạm tường lửa hoặc bảo mật nào và chắc chắn không có ý định xấu." Họ cho biết thêm trong tuyên bố của mình. "Việc làm chệch hướng sai lầm của DESE bằng cách xem đây như là một hoạt động hack là điều không có cơ sở."

Hiện tại cho dù ông Parson cam kết rằng, tờ báo Post-Dispatch "phải chịu trách nhiệm" cho "tội trạng" giúp chính quyền bang tìm và sửa lỗ hổng bảo mật, khả năng phóng viên Renaud phải đối mặt với bản án là điều rất mong manh. Căn cứ theo một phán quyết gần đây của tòa án Tối cao Mỹ trong vụ kiện giữa Van Buren và nước Mỹ, một người bị xem là vi phạm luật khi họ chiếm đoạt thông tin từ những khu vực cụ thể trong máy tính mà đáng nhẽ họ không được quyền truy cập.

Nhưng nếu chính quyền bang cố tình truy tố phóng viên nói trên, nó sẽ ảnh hưởng xấu đến đóng góp của các nhà nghiên cứu bảo mật và báo chí trong tương lai đối với vấn đề này, khi họ phải đối mặt với các rắc rối pháp lý khi muốn phát hiện và báo cáo lỗ hổng bảo mật cho người sở hữu.

Genk