出品|開源中國

作者|局長

美國密蘇里州近期發生了一起引發巨大討論的“安全漏洞”事件。

根據 Ars Technica 的報道

，《聖路易斯郵報》的一名記者在使用由密蘇里州中小學教育部 （DESE） 維護的網站查詢教育工作者的資格證時，發現了一個會暴露教師和其他學校員工社會安全號碼 （SSN） 的安全漏洞。

這裡所謂的安全漏洞其實就是記者透過使用瀏覽器自帶的「檢視原始碼」、「檢視頁面原始碼」此類功能，發現教師的社會安全號碼直接暴露在 HTML 原始碼中（後文會提到這些資訊經過了 base64 轉碼，但沒被加密）。

記者發現漏洞後，隨即向維護該網站的政府教育部門進行報告。同時，記者所屬報社也做出承諾，在修復漏洞期間不會發布任何相關資訊。

然而政府接下來的操作卻讓人匪夷所思。他們先是關閉了網站的訪問許可權，接著召開新聞釋出會，並表示準備起訴發現漏洞的記者。州長在釋出會上直言報社“企圖讓國家難堪併為新聞頭條不擇手段”。他還說道，“政府不會成為新聞媒體的棋子。政府會透過法律制裁任何一個入侵我們系統的人，追究所有幫助這個人的其他人和僱用他們的媒體公司的責任。”

由於在此期間，網路安全教授 Shaji Khan 幫助記者驗證了漏洞的存在，所以他後面也遭受到了政府的無端調查和指控。

Shaji Khan 做了這樣的操作：

訪問任何人都可以訪問且無需登入的公共網站

檢視公開的原始碼（任何人都可以使用「檢視」選單選項在任何網頁上輕鬆完成）

識別被稱為“View State”的可疑原始碼片段，其中可能包含此次事件中的所謂安全漏洞

將已被轉碼的資訊轉換成可讀的純文字，這也是任何人都可以完成的操作

Shaji Khan 指出，任何人都可以在短短几分鐘內完成整個過程。沒有任何資料被加密，也不需要密碼，密蘇里州沒有采取任何措施來保護該州自動傳送給每個網站訪問者的教師社會安全號碼。

此外 Shaji Khan 還指出，州政府違反了“禁止公開披露公民身份證號碼”的法律，且未遵循“告知資料洩露受害者事件相關準確資訊”的另一項法律規定。

▲ Shaji Khan 教授

Shaji Khan 聘請了一名律師為自己辯護，反對政府的指控。他要求州政府保留與此事件有關的所有記錄，作為訴訟保留的一部分，停止“對 Shaji Khan 教授進行毫無根據的調查”，並“補償他為自己免受各方毫無根據的指控辯護而產生的合理律師費，以及因為各方給他造成的巨大壓力和干擾”。

到目前為止，Shaji Khan 教授向政府提出的終止調查指控以及索要賠償和道歉要求並未得到迴應。Shaji Khan 表示，如果訴求得不到滿足，他將會考慮起訴政府，探索各種途徑在法庭上解決不當行為。

有關網友的討論可檢視 reddit 上的兩個帖子

https：//www。reddit。com/r/programming/comments/qeuaxf/digging_around_html_code_is_criminal_missouri/

https：//www。reddit。com/r/programming/comments/qhg9yh/viewing_website_html_code_is_not_illegal_or/