Vergrößern /. Florida ist anscheinend etwas auch Begrüßung in der Zwischenzeit.
Die Polizei von Florida gab an, dass eine Razzia, die sie am Montag im Tallahassee-Haus von Rebekah Jones durchgeführt hatten, einer Informationswissenschaftlerin, die der Staat von ihrem Job in Might entlassen hatte, Teil einer Untersuchung eines nicht autorisierten Zugangs zu einem staatlichen Notfall-Reaktionssystem war. Es scheint jedoch, dass nicht nur alle staatlichen Mitarbeiter, die Zugang zu diesem System haben, einen einzigen Benutzernamen und ein einziges Passwort gemeinsam haben, sondern dass diese Anmeldeinformationen auch öffentlich im Internet verfügbar sind, damit jeder sie lernen kann.
Der Hintergrund
Jones am Montag hat ein Video geteilt der Polizeirazzia in ihrem Haus als Teil eines Twitter-Threads, in dem sie definierte, dass die Polizei nach einer Beschwerde der Abteilung für Wohlbefinden einen Durchsuchungsbefehl gegen ihr Haus ausgestellt hat. Diese Beschwerde war im Umkehrschluss mit einer Nachricht verbunden, die im November erneut an die Rettungskräfte in Florida geschickt wurde.
Ungefähr 1.700 Mitglieder von Floridas Notfallgruppe erhielten die Mitteilung am 10. November auf der Grundlage der eidesstattlichen Erklärung (PDF), die im Durchsuchungsbefehl für Jones ‘Haus angegeben ist. In der Nachricht wurden die Empfänger aufgefordert, sich früher zu unterhalten, als andere 17.000 Personen nutzlos sind. das ist ungeeignet. Du solltest nicht Teil davon sein. Sei ein Held. Kommunizieren Sie früher als es zu spät ist. “
Diese nicht autorisierte Nachricht wurde an die Kontakt-Checkliste für Floridas Emergency Help Perform 8 oder ESF-8 gesendet, eines von 18 Teams des Notfallpersonals des Bundesstaates Florida. ESF-8 befindet sich unterhalb der Florida Division of Wellbeing und koordiniert die Reaktion auf das öffentliche Wohlbefinden sowie „Triage, Therapie und Transport“ in einer Reihe von Unternehmen. Alle Kunden innerhalb der Gruppe haben den gleichen Benutzernamen und das gleiche Passwort, wie die eidesstattliche Erklärung bestätigt. Die Ermittler überprüften die Systemprotokolle und erkannten ein IPv6-Handle, das sich auf die Nachricht bezog, und entschieden sich dann, sich auf Jones ‘Zuhause zu beziehen.
Nach dem Überfall auf ihr Haus gab Jones eine Reihe von Medieninterviews, in denen sie wiederholt bestritt, etwas mit der Nachricht zu tun zu haben. Zu CNN erklärte sie beispielsweise: „Ich bin kein Hacker“ und fügte hinzu, dass weder der Ton noch das Inhaltsmaterial der Nachricht ihrem Kommunikationstyp entsprechen.
(In Sicherheit
Im November, als die Nachricht herauskam, lehnte es der Sprecher des staatlichen DOH, Jason Mahon, ab, die Fragen der Tampa Bay Instances zu beantworten: „Was, wenn etwas getan worden war, um das Notfallwarnsystem vor künftigen Hacks zu schützen, und ob dies der Fall war oder nicht In verschiedenen Situationen war das System gehackt worden. “
Es scheint nun, dass die Anfrage der Instanzen unbeantwortet geblieben sein könnte, da die Florida Division of Well keine Antwort erhalten hat, abgesehen davon, dass gefährliche Sicherheitspraktiken durchgeführt werden.
„Alle Kunden zugeordnet [ESF-8 tools] Teilen Sie den identischen Benutzernamen und das gleiche Passwort mit “, bestätigte die im Durchsuchungsbefehl angegebene eidesstattliche Erklärung. Diese Anmeldeinformationen ändern sich anscheinend nicht, wenn Kunden zurücktreten oder entlassen werden. als Ersatz “, sobald [employees] sind nicht mit ESF8 verwandt, sie sind nicht für den Eintritt in die Mehrbenutzergruppe lizenziert. “
Diese Anmeldeinformationen, die jeder Kunde teilt, sind Teil eines Handbuchs für Logistikvorgänge, das öffentlich durchsuchbar und auf der Website des Florida DOH zugänglich ist.
Vergrößern /. Ein redigierter Screenshot aus einem öffentlich zugänglichen PDF mit den Anmeldedaten für ESF-8-Kommunikationsprogramme. Dies ist die Art von Daten, die Sie möglicherweise in Ihrer Kabine anheften würden – nicht die Art von Daten, die Sie im gesamten Web benötigen.
Ein Hyperlink zum Handbuch wurde in einem Reddit-Thread geteilt, in dem der Überfall auf Jones ‘Haus besprochen wurde, den eine Reihe von Ars-Lesern uns gemeldet hatten. (Danke!) Wir haben uns dafür entschieden, keinen direkten Hyperlink freizugeben. Zum Zeitpunkt der Veröffentlichung war der Hyperlink jedoch noch vorhanden und wurde gehandelt.
Das Dokument ist ein Vorschlag für ESF-8-Logistikmitarbeiter. Der Hauptteil enthält eine Checkliste der Aufgaben, die die Verwaltung in bestimmten Zeiträumen abschließen möchte. Der zweite Teil enthält eine Checkliste mit Anmeldedaten für Programme sowie Kontaktfaktoren für jedes dieser Programme, falls diese gewünscht werden sollen. Es ist die Art von Daten, die jeder, der in einer Verwaltungs- oder Unterstützungsposition für eine Gruppe gearbeitet hat, zur Verfügung hatte – nur für den inneren Gebrauch.
Ars kontaktierte die Florida Division of Wellbeing bezüglich des Dokuments vor der Veröffentlichung. Offiziere präsentierten nicht sofort eine Antwort. Wir werden diese Geschichte ersetzen, wenn wir eine zusätzliche Bemerkung erhalten.
Zusätzliche Berichterstattung von Timothy Lee.
