Der Politiker aus Alberta gibt zu, dass er das Impfpasssystem gehackt hat, indem er Jason Kenneys Geburtstag verwendet hat

0


Thomas Dang, der aus dem NDP-Caucus ausgetreten ist und jetzt als Unabhängiger sitzt, sagte in einem exklusiven Postmedia-Interview, er habe dies getan, um die Sicherheitslücken des Systems hervorzuheben

Erscheinungsdatum:

22. März 2022vor 1 Stunde4 Minuten gelesen 42 Kommentare

Edmonton-South MLA Thomas Dang während einer Pressekonferenz in der Alberta Legislature in Edmonton am Freitag, den 1. Oktober 2021. Foto von Ian Kucerak /Postmedien

Edmonton-South MLA Thomas Dang hat zugegeben, letztes Jahr das COVID-19-Impfstoffaufzeichnungssystem der Regierung von Alberta gehackt zu haben, wobei der Geburtstag von Premier Jason Kenney verwendet wurde.

In einem exklusiven Interview mit Postmedia sagte Dang, der im Dezember aus dem NDP-Caucus ausgetreten war und nun als Unabhängiger sitzt, er habe dies getan, um Sicherheitslücken aufzuzeigen, und das, was er entdeckt habe, sofort an die Regierung weitergegeben, damit das Problem behoben werden könne.

Er möchte nun, dass Alberta Richtlinien aufstellt, damit Entwickler und Cybersicherheitsexperten die Regierung warnen können, wenn sie andere Online-Schlupflöcher finden, und ein neues Büro mit Schwerpunkt auf digitaler Sicherheit gründen können.

„Ich denke, dass das, was ich getan habe, eine Verpflichtung im Rahmen meiner Rolle als MLA der Opposition war“, sagte er.

„Ich denke, ich habe der Regierung geholfen, eine kritische Sicherheitslücke zu schließen, und ehrlich gesagt glaube ich, dass die Regierung Maßnahmen und ein Programm hätte haben sollen … damit diese Art von Problem gelöst werden kann richtig.”

Letztes Jahr wurde in Dangs Haus ein Durchsuchungsbefehl vollstreckt, aber er wurde nicht eines Verbrechens angeklagt.

“Gut innerhalb der Fähigkeiten eines Amateurs”

Im September 2021 veröffentlichte die Regierung von Alberta eine Website, auf der Einwohner ihre COVID-19-Impfunterlagen anhand ihrer Gesundheitskartennummer, ihres Geburtstags und ihres Impfmonats abrufen können.

Es gab Kritik, als bekannt wurde, dass Karten als bearbeitbare PDF-Dateien heruntergeladen werden können, wodurch sie leicht zu fälschen sind.

Dieses Problem wurde behoben, aber ungefähr zur gleichen Zeit sagte Dang, der für „offensive Sicherheit“ zertifiziert ist, was das Testen von Computersystemen beinhaltet, dass er von jemandem gehört habe, der zusätzliche Bedenken habe.

„In der Branche ist es üblich, dass wir nachweisen müssen, dass es ein Problem gibt, bevor wir eine Meldung machen können“, sagte er.

Laut einer Erklärung, die am Dienstagmorgen auf seiner Website veröffentlicht wurde, versuchte Dang zunächst, zufällige Geburtstage, hypothetische Gesundheitsnummern und Impfdaten zu verwenden, um zu sehen, ob er auf die Website zugreifen konnte.

Nach fünf Versuchen wurde seine Internet Protocol (IP)-Adresse gesperrt. Aber mit einem weit verbreiteten Programm konnte er diese Blockade umgehen und jetzt mehrere Abfragen pro Sekunde durchführen.

Dang sagte, er habe versucht, seine eigenen persönlichen Informationen zu verwenden, entschied aber, dass der Versuch, auf die Informationen eines Fremden zuzugreifen, ein besserer Test sei, um zu beweisen, dass die Website gehackt werden könnte.

Er sagte, er habe sich für Kenney entschieden, weil der Geburtstag und das Impfdatum des Premierministers bereits öffentlich seien.

Das Skript war in der Lage, die Gesundheitskartennummer eines Albertaners zu erraten, der nicht Kenney war, aber mit dem Geburtstag des Premierministers und dem Monat übereinstimmte, in dem er geimpft wurde. Dang konnte diese Informationen verwenden, um auf das Impfpass-PDF der Person zuzugreifen.

„Sobald ich wusste, dass ein Datensatz gefunden wurde, habe ich das Drehbuch sofort gestoppt. Ich habe dann überprüft, ob der Datensatz gültig ist, indem ich den Datensatz von der Website angefordert habe“, schrieb Dang in seiner Online-Erklärung.

„Als ich sah, dass der Datensatz einer Person gehörte, die nicht der Premier war und mir auch unbekannt war, verließ ich sofort die Website und speicherte keine Informationen.“

Dang verteidigte seine Entscheidung, die Informationen des Premierministers zu verwenden, und argumentierte, dass eine Persönlichkeit des öffentlichen Lebens wie Kenney mit größerer Wahrscheinlichkeit von Hackern wegen dieser Art von versuchtem Einbruch ins Visier genommen werde.

„Ich kann verstehen, warum einige Leute denken könnten, dass (die Wahl von Kenney) eine schlechte Idee war. Aber ich bitte Sie, meine Taten mehr als alles andere zu beurteilen“, sagte er.

„Denn wenn es das Ziel gewesen wäre, auf Gesundheitsinformationen anderer MLAs oder der UCP zuzugreifen, hätte ich das Skript so lange ausgeführt, bis ich diese Informationen erhalten hätte.“

Er nannte seinen Hack „etwas, das innerhalb der Fähigkeiten eines Amateurs lag“.

Durchsuchungsbefehl im Dezember vollstreckt

Dang sagte, die Entscheidung, das System zu hacken, sei seine alleinige, aber nachdem er erfolgreich auf die Informationen des Fremden zugegriffen hatte, kontaktierte er die Mitarbeiter des NDP-Caucus, und die Informationen wurden an Alberta Health weitergegeben.

Innerhalb weniger Wochen hatte die Regierung das Schlupfloch geschlossen.

Im Dezember führte die RCMP einen Durchsuchungsbefehl für Dangs Haus aus und er trat aus der NDP-Fraktion zurück, um als Unabhängiger zu sitzen.

Dang sagte gegenüber Postmedia, er habe der Polizei Einzelheiten über seine Tat mitgeteilt.

Auf die Frage, ob er bereit sei, für seine Taten Konsequenzen von der Polizei zu tragen, wiederholte Dang, dass Unternehmen oft Sicherheitsexperten einstellen, um ihre Systeme zu testen.

„Ich bin wegen keiner Straftat angeklagt oder festgenommen worden, und ich freue mich darauf, das Ergebnis ihrer Ermittlungen zu sehen, und ich bin mir sicher, dass sie angemessen damit umgehen werden“, sagte er.

Der Gesetzentwurf für Privatmitglieder zielt auf Cybersicherheit ab

Dang plant, im September einen Gesetzentwurf für private Mitglieder vorzulegen, der ein Informationssicherheits- und Verteidigungsbüro einrichten würde, das sich mit Cybersicherheitsbedenken befasst, ein Programm zur Offenlegung von Schwachstellen, damit Personen Bedenken melden können, und einen Jahresbericht über die Informationsinfrastruktur des Staates Alberta vorschreiben würde.

„Im Grunde hat jede große Organisation oder zumindest jede Technologieorganisation auf der Welt ein öffentliches Programm zur Offenlegung von Schwachstellen. … Diese Programme sollen sicherstellen, dass Personen, die Schwachstellen finden, die technischen Details ordnungsgemäß melden können, damit sie korrigiert werden können, ohne möglicherweise zusätzliche Informationen preiszugeben“, sagte er.

Dang sagte, er habe bewiesen, dass Alberta nicht auf die Art von Verletzung vorbereitet sei, die er orchestrieren könne.

„Dies ist ein dringendes Anliegen für die Menschen, die derzeit in Alberta leben“, sagte er.

[email protected]

zwitschern.com/ashleyjoannou

Bemerkungen

Postmedia ist bestrebt, ein lebendiges, aber zivilisiertes Forum für Diskussionen zu unterhalten und alle Leser zu ermutigen, ihre Ansichten zu unseren Artikeln mitzuteilen. Die Moderation von Kommentaren kann bis zu einer Stunde dauern, bevor sie auf der Website erscheinen. Wir bitten Sie, Ihre Kommentare relevant und respektvoll zu halten. Wir haben E-Mail-Benachrichtigungen aktiviert – Sie erhalten jetzt eine E-Mail, wenn Sie eine Antwort auf Ihren Kommentar erhalten, es ein Update zu einem Kommentar-Thread gibt, dem Sie folgen, oder wenn ein Benutzer, dem Sie folgen, Kommentaren folgt. Weitere Informationen und Details zum Anpassen Ihrer E-Mail-Einstellungen finden Sie in unseren Community-Richtlinien.





Source link-46