密苏里州州长办公室负责教师数据泄露

密苏里州州长迈克·帕森（Mike Parson）去年成为头条新闻，他发誓要对一名记者提起刑事诉讼，因为他报道了一个州网站的安全漏洞，该网站泄露了超过10万名教师的个人信息。但密苏里州检察官现在表示，在2011年数据被曝光后，他们将不再起诉。两年前，保护该州IT系统的责任集中在帕森自己的行政办公室内。

2021年10月，圣·路易斯邮报记者Josh Renaud提醒密苏里教育部门官员，他们的网站揭露了该州100000多名中小学教师的社会保障号码。雷诺发现教师的SSN可以在密苏里州教育部网页的HTML源代码中找到。

在确认州IT官员已经获得了公开的教师数据后，邮报报道了他们的发现。作为回应，帕森州长举行了一次新闻发布会，他在会上发誓，他的政府将寻求起诉和调查“黑客”以及任何帮助该出版物“试图让国家难堪，并为其新闻媒体出售标题”的人

帕森在10月说：“州政府致力于将任何黑客或帮助他们的人绳之以法。”。“黑客是指未经授权获取信息或内容的人。这个人没有权限做他们所做的事情。他们无权转换或解码，所以这显然是一次黑客行为。”

帕森责成密苏里州公路巡逻队就他们对“黑客”的调查提出报告2月21日，星期一，《邮报》发表了这份158页的报告（PDF），经过175个小时的调查后得出结论，雷诺没有做错什么，只访问了公开的信息。

《华盛顿邮报》后来获得的电子邮件显示，FBI告诉州网络安全官员，“没有实际的网络入侵”，州数据库“配置错误”这些电子邮件还透露了教育部领导最初准备在10月做出回应时提出的信息：

“我们很感谢让州政府注意到这一点的媒体成员，”在帕森开始拍摄《信使》之前，州教育专员引用了这句话。

密苏里州公路巡逻队的报告包括对该州中小学教育部（DESE）首席通信官马洛里·麦戈文（Mallory McGowin）的采访。麦戈文告诉警方，该网站的漏洞实际上暴露了57.6万名教师的社会安全号码，这些数据将在十年内公开。

McGowin还表示，DESE的网站由行政办公室的信息技术服务部（ITSD）开发和维护，由州长办公室直接控制。

这位公路巡逻调查员写道：“我问麦戈文女士，我说该网站是为DESE设计的，但它是由ITSD维护的，这是否正确，她表示这是正确的。”。“我问她，信息技术署是否在行政办公室内，或者DESE是否有其信息技术部门，她表示它在行政办公室内。她说，2009年，政策发生了变化，将所有信息技术服务转移到行政办公室。”

该报告是对Renaud和密苏里圣路易斯大学教授Shaji Khan的帮助，他帮助邮局核实了安全漏洞的存在。可汗也是帕森发誓要起诉“黑客”的目标汗的律师埃拉德·格罗斯（Elad Gross）告诉媒体，他的当事人没有受到指控，而且“国家官员在这里犯下了所有的错误。”

格罗斯告诉邮报：“多年来，他们没有遵守基本的安全程序，没有保护教师的社会安全号码，也没有承担责任，而是选择对两名做了正确事情并报告了问题的密苏里州人进行毫无根据的调查。”。“我们感谢密苏里州公路巡逻队和科尔县检察官办公室在这起案件上的辛勤工作，这起案件本来就不应该交给他们。”

马里兰州巴尔的摩市已经将事件隐藏在谁用核弹炸毁了他们的网络上，但我也认为是不称职的承包商和/或城市管理层。勒索软件把巴尔的摩锁得很紧，他们没有付钱。他们失业了好几个月，无法支付水费。回去工作花了他们一大笔钱，远远超过了赎金。几个月后，这一IT主管职位出现在LinkedIn上。这将是一个很好的故事。

可悲的是，就在5-10年前，州长的反应还是常态。谢天谢地，现在我们有了bug赏金计划和负责任的披露程序，可以在不射击messenger的情况下提高安全性。

我认为网络安全世界中的大多数人，如果不是所有人的话，在它第一次出现在新闻中时，都从中得到了相当好的笑声。帕森斯的指控是愚蠢的，暴露了他和他的行政人员令人震惊的无能水平。他希望这成为一个“媒体做了坏事”的故事。这篇文章基本上证实了这一点。希望那里有人能给帕森斯夫妇一本互联网傻瓜指南。

>；可悲的是，这位州长暴露出了令人震惊的无能水平，他没有道歉，也没有发表纠正性声明。那些住在帕森斯信息仓库里的人只知道“媒体变坏”的最初故事。

如果你注意到2011年的州长是杰伊·尼克松（D），而不是现任州长迈克·帕森（Mike Parson），那么你的文章会更准确。

墨迹，2011年谁在办公室是无关紧要的。相关部分包括：a）帕森斯办公室自2009年起负责数据库和系统安全，尽管帕森斯本人自2018年起就在办公室；b）帕森斯及其政府错误地指控雷诺和汗。现在我不认为67岁的前警长和加油站老板会站在技术的边缘，但他的顾问应该站在技术的边缘。这件事让我想起了2010年左右，一位市长（？）中西部（？）city攻击CentOS的维护人员劫持了city的网页。那太好笑了。很抱歉，我忘记了细节，但线索是city domain重定向到了一个未配置的Apache httpd，在CentOS中默认为默认页面。

“在我向政府官员报告之前，请立即删除你的软件！！我是俄克拉荷马州塔特尔市的城市经理。”——杰里·泰勒，2006

密苏里大学圣·路易斯教授Shaji Khan -我想知道，州长Mike Parson的动机，他的粗暴的反应是共和党的仇恨引发的教授的名字。对于我们现在背负的公开的共和党极端分子来说，如果他的暴力回应和他故意不理解这里没有人入侵任何东西，是基于仇恨的共和党种族主义意识形态，这在过去30年里在美国越来越极端，这并不令人惊讶。

你的自由言论根本站不住脚。我在一家政府国防机构担任算法加密开发人员已经超过20年了，必须与POL的双方打交道。有一点是一致的，他们对it/网络结构平台的运作一无所知。大多数人需要助手来打开机器。这位小丑牧师和他的前任&；同为小丑的尼克松根本不知道什么是黑客。把激进的政治人物留在家门口。

他自己即将过上免租生活，而不仅仅是特勤局的房东。

JP和大卫真是雪片。帕森斯的反应完全是政治，而JP和大卫太蠢或太瞎，看不到这一点。

密苏里州的无能贯穿密苏里州各级政府。有时候，愚蠢的人更强大，尤其是当你从受薪的白痴变成当选的白痴时。

你的意思是什么？帕森斯掌权，尼克松走了。为什么这件事在帕森斯治下没有得到解决？为什么这变成了一个关于媒体攻击政府的全国性报道？

密苏里州挖走了他们的IT员工，并大量求助于承包商。承包商在实际保护方面没有既得利益，他们的工作是增加计费小时数，而违规会导致更多的小时数和保护物品。

密苏里州州长迈克·帕森（Mike Parson）是一个无知的##########，在我看来，查看网站源代码无异于查看电路板的示意图。

我不知道他是否会威胁指控他的办公室玩忽职守。

住在陆上公园，只是去密苏里州的一次短途旅行，我几乎每天都会接触到该州政治领导层的无能和等级操纵，主要是通过《KC之星》。布莱恩，谢谢你对这件事的深入了解。

“但密苏里州检察官现在表示，在2011年数据被曝光后，他们将不再起诉。两年前，保护该州IT系统的责任集中在帕森自己的行政办公室内。”

但密苏里州检察官现在表示，在2011年数据被曝光后，他们将不再起诉。两年前，密苏里州的IT系统安全责任集中在州长自己的行政办公室内。这种中央集权始于杰伊·尼克松（D）的任期，一直持续到埃里克·格雷滕斯（R）的任期，直到雷诺在现任帕森州长任期内发现。

遗憾的是，他们不能花175个小时来发现和修复其他安全错误配置。我不怪帕森州长不了解互联网，更不用说信息安全了。我确实要归咎于他挑选顾问的不力，他们本应该在一开始就让他冷静下来，和/或他没有听取他确实得到的好建议的傲慢态度（“我们感谢让国家注意到这一点的媒体成员”）

梅尔·布鲁克斯展示密苏里州的电影？哦，天哪，那将是一场骚乱！有这么多材料和人物可供借鉴。我和一位朋友正在讨论谁将扮演帕森斯（显然，几乎所有人都是这样，爸爸-嘟嘟）。还有尼克松。还有灰色的。这很有趣。但就像特朗普时代的故事一样，没有幸福的结局。嗯，也许是格雷特人。至少他现在单身了。我猜在被解雇州长之后，决定继续生活在一起，成为一个家庭（我猜结婚生子不符合埃里克的资格）是有期限的，对吧？一定在电影里。我等不及了。有人请告诉布鲁克斯先生这个想法。

我不是网络开发者，但即使我的经验有限，我也忍不住想知道应该在数据库中查询的东西是如何变成html的！懒惰还是我错过了什么？

干得好，像往常一样。和往常一样，我的评论是关于评论者的。密苏里州的人民是否值得这样做？还是政治领导人强加给他们的。我真的很惊讶有人花了这么长时间查看数据库。我想知道是什么让他们这么做的？或者他们在调查什么有新闻价值的东西。还有哪些问题有待发现。是的，在密苏里州开玩笑，但是数据库管理员在哪里接受过培训？他们不是在别处接受过安全培训吗？甚至密苏里大学、警察团体和小型商业团体也涵盖了这一点。还有承包商，有些是好的，有些是来拿钱的。而且通常比老员工赚的钱要多。别怪民主党，密苏里州最后一届民主党众议院或参议院是什么时候？我一个都不记得了。

愚蠢的保守派，总是想惩罚告密者，却从来没有因为这些问题惩罚自己。