网络安全专家说,埃德蒙顿 MLA 故意破坏阿尔伯塔省的 COVID-19 疫苗记录网站应该会激励该省更好地保护其 IT 系统免受黑客攻击。
Thomas Dang 周二在他的网站上发布的一份报告中,描述了他去年 9 月的黑客行为。
他说,他使用省长杰森·肯尼的生日和一个简单的编码程序来访问一个陌生人的疫苗记录。
多伦多网络安全分析师 Ritesh Kotak 表示:“这次违规行为的简单性,并不能成为 [Dang] 不应该这样做的理由。”
“但如果首先遵循简单的网络安全协议和程序,我们就不会陷入这种困境。”
具有计算机科学背景的 Dang 表示,在一名公众警告他该网站可能存在漏洞后,他感到“作为一名 MLA”有义务测试该系统。
该省表示,在 Dang 的违规行为被报道之前,已经知道有人试图入侵该网站。
Dang 表示,他的违规行为表明阿尔伯塔省政府需要更好的 IT 安全性。
在加拿大皇家骑警搜查了他的家以查明违规行为后,他于 12 月从新民主党核心小组辞职。他仍在接受加拿大皇家骑警网络犯罪部门的调查,并以独立身份在立法机关任职。
白帽子和漏洞赏金
Kotak 表示,该省应该利用 IT 行业的“好人”,雇佣道德黑客——也称为白帽黑客——来测试其系统。
他说,这是私营部门的普遍做法。公司与 IT 专业人员签约,通过在网站启动前后执行实时攻击来探测网站的漏洞。
Kotak 说,阿尔伯塔省还应该使用“漏洞赏金”系统,向 IT 专家支付发现和报告 IT 漏洞的费用。
疫苗记录网站于 9 月推出,允许阿尔伯塔人下载他们的疫苗记录作为解锁的 PDF 文件,导致人们担心这些文件很容易被伪造。
PDF 的问题得到了解决,但 Dang 说他收到了一位公众的投诉,他担心该系统存在不同的弱点。
“系统有问题”
Dang 说他编写了一个自动化程序来测试系统。使用它,他找到了与肯尼同日生日并在与省长同月接种疫苗的人的记录。
Kotak 表示,漏洞是如此简单,任何黑客都可以做到,而且该漏洞表明该网站的安全性很弱且未经测试。
“很明显,这个系统存在问题。如果他能做到,其他人也能做到。而且他受到了诽谤,”他说。
Dang 的承认引发了对他和 NDP 核心小组如何将他的行为传达给政府进行内部调查的呼吁。