ซานฟรานซิสโกเปิดเผยรหัสผ่านเครือข่ายของเมือง

สำนักงานอัยการเขตซานฟรานซิสโกกมลาแฮร์ริสได้เปิดเผยข้อมูลสาธารณะกับชื่อผู้ใช้และรหัสผ่าน 150 ชื่อที่ใช้โดยเจ้าหน้าที่ต่างๆในเมืองซานฟรานซิสโก หน่วยงานเพื่อเชื่อมต่อกับเครือข่ายส่วนตัวเสมือนของเมือง รหัสผ่านถูกยื่นในสัปดาห์นี้ว่าเป็นเอกสารก. ในเอกสารของศาลซึ่งเป็นการโต้แย้งการลดเงินประกันตัว 5 ล้านดอลลาร์ในกรณีของเทอร์รี่ไพรส์ซึ่งถูกกล่าวหาว่าเป็นเจ้าของตัวประกันเครือข่ายของเมืองโดยไม่ยอมให้รหัสผ่านเครือข่ายผู้ดูแลระบบ Childs ถูกจับเมื่อวันที่ 12 กรกฎาคมในข้อหาลักลอบใช้คอมพิวเตอร์และถูกคุมขังในเรือนจำมณฑล

แม้ว่าพวกเขาวางรหัสผ่านไว้ในบันทึกสาธารณะอัยการเมืองดูเหมือนจะคิดว่าพวกเขามีความรู้สึกไว

รหัสผ่านที่ค้นพบ บนคอมพิวเตอร์ของ Childs ก่อให้เกิด "ภัยคุกคามที่ใกล้เข้ามา" กับเครือข่ายคอมพิวเตอร์ของเมืองตามการยื่นฟ้องของศาล Childs สามารถใช้ชื่อและรหัสผ่านเพื่อ "ลอกเลียนแบบผู้ใช้ที่ถูกต้องตามกฎหมายในเมืองโดยใช้รหัสผ่านเพื่อเข้าใช้ระบบ" การเคลื่อนไหวต่อต้านการลดการประกันตัว

แม้ว่าสำนักงานของ DA ไม่ได้กล่าวว่าอะไร รหัสผ่านถูกใช้สำหรับแหล่งที่คุ้นเคยกับสถานการณ์กล่าวว่าพวกเขากำลังเข้าสู่ระบบเครือข่ายส่วนตัวเสมือนของเมืองและข้อมูลประเภทนี้เป็นสิ่งที่ผู้ดูแลระบบเครือข่ายเช่น Childs คาดว่าจะมีได้

การโพสต์รหัสผ่านเหล่านี้ ในที่สาธารณะจะสร้างความเสี่ยงด้านความปลอดภัยแม้ว่ารหัสผ่านจะไม่เพียงพอที่จะทำให้เกิดความผิดทางอาญาในการเข้าถึง VPN ของเมือง รหัสผ่านเรียกว่ารหัสผ่าน "เฟสหนึ่ง" และต้องรวมกับรหัสผ่านที่สองเพื่อเข้าถึงเครือข่ายโดยแหล่งที่มากล่าวว่า

รหัสผ่านถูกใช้โดยคนในเมืองที่เข้าถึงเครือข่ายจากคอมพิวเตอร์ที่บ้านหรือแล็ปท็อปขณะที่พวกเขา อยู่นอกสำนักงานของเมือง รหัสผ่านสำหรับหน่วยงานในเมืองหลายแห่งรวมทั้งแผนกตำรวจสำนักงานนายกเทศมนตรีและกรมโทรคมนาคมและข้อมูล (DTIS) ซึ่ง Childs ทำงาน

เมืองควร "ก้าวไปอย่างมาก" เพื่อเปลี่ยนรหัสผ่านได้อย่างรวดเร็ว Robert Grapes หัวหน้านักเทคโนโลยีด้านโซลูชันศูนย์ข้อมูลของ Cloakware ผู้จำหน่ายซอฟท์แวร์จัดการรหัสผ่าน Erica Derryck โฆษกสำนักงานของ DA ปฏิเสธที่จะแสดงความคิดเห็นในเรื่องนี้ สำนักงานของนายกเทศมนตรีซึ่งดูแล DTIS ไม่ได้ส่งกลับข้อความที่ต้องการความคิดเห็นในเรื่องนี้

การเปลี่ยนรหัสผ่านเมืองจะต้องกำหนดค่าซอฟต์แวร์ VPN ใหม่ที่ทำงานอยู่ในพีซีทุกเครื่องที่เชื่อมต่อจากระยะไกลซึ่งยังไม่ได้ทำ source>

รหัสผ่านบางส่วนจะได้รับประโยชน์จากการเปลี่ยนแปลงเพราะเหมือนกันกับชื่อเข้าสู่ระบบ VPN หรือการคาดเดาได้ง่ายมาก

กรณี Childs 'ได้รับข่าวด้านบนในซานฟรานซิสโกเป็นเวลาเกือบสองปี เป็นเวลา 9 วันหลังจากการจับกุมตัวเมื่อวันที่ 12 กรกฎาคมเขาปฏิเสธที่จะมอบรหัสผ่านผู้ดูแลระบบให้กับอุปกรณ์เครือข่ายส่วนกลางห้าแห่งในเครือข่าย FiberWAN ของเมืองซึ่งดำเนินการประมาณ 60 เปอร์เซ็นต์ของการเชื่อมต่อเครือข่ายของรัฐบาลในเมือง Childs ซึ่งเป็นหัวหน้าวิศวกรของ DTIS ที่ใช้ Maggot617 เข้ามามีส่วนเกี่ยวข้องกับการโต้เถียงกับฝ่ายจัดการและเก็บรหัสผ่านไว้แม้กระทั่งหลังจากที่เขาถูกจำคุก

ในวันจันทร์เขามอบให้นายกเทศมนตรีหลังจากนั้น การประชุมคุกลับระหว่างสอง ทนายความของ Childs ระบุว่าเนื่องจากความไร้ความสามารถของแผนกนายกเทศมนตรีเป็นคนเดียวที่มีคุณสมบัติที่จะได้รับกุญแจไปยังเครือข่าย

การกล่าวหาทางอาญาต่อ Childs ทำให้เมืองต้องรีเซ็ตรหัสผ่านเหล่านี้ Bruce Schneier หัวหน้ากล่าว เจ้าหน้าที่เทคโนโลยีรักษาความปลอดภัยที่ BT กล่าว "แก้ไขได้เลย" เขากล่าว "ไปที่นั่นหมดอายุรหัสผ่านของทุกคนและทำให้พวกเขาทั้งหมดเข้าสู่ระบบอีกครั้งทำมันตอนนี้ไม่ยาก"