哈利法克斯审查员

一个独立的,敌对的新闻网站在哈利法克斯,NS

你在这里:首页 / 特色 /“侵犯隐私”的逮捕看起来像是一次误导行动

“侵犯隐私”的逮捕看起来像是一次误导行动

2018年4月12日,星期四,晨档

通过15个评论

新闻

1.“侵犯私隐”

昨天,该省宣布“信息自由”网站被“入侵”:

政府正与哈利法克斯地区警方合作,调查信息自由与隐私保护(FOIPOP)网站信息泄露事件。

在被不当访问的文件中,不到4%(约250份)包含高度敏感的个人信息。总共有大约7000份文件被非法访问。

敏感信息的例子可能包括生日、社会保险号码、地址和政府服务客户信息。在入侵过程中,申请人的信用卡信息没有被访问。

政府于4月5日(星期四)第一次意识到这个问题,当时发现资讯自由网站有问题。它立即被关闭,同时寻求解决问题的办法。4月6日,周五晚上,政府确认信息被非法获取。4月7日星期六,政府向哈利法克斯地区警察提出投诉,要求进行调查。

在该省发布公告7分钟后,哈利法克斯警方发布了以下声明:

警方调查政府机密电子资料遭泄露事件

哈利法克斯地区警方目前正在调查新斯科舍省政府电子文件被侵入的事件。

4月7日晚8时30分,警方接到了省政府企业安全部门的报告,称他们的网络出现了安全漏洞。该漏洞发生在2018年3月3日至3月5日之间,4月5日被一名政府雇员发现。

今天上午早些时候,综合刑事司一般调查科和网络犯罪股的调查人员对哈利法克斯的一个地址执行了搜查令,并拘留了一名与该事件有关的人。调查仍在进行中,尚未提出指控。

在一次新闻发布会上,雅各布·布恩报道

在星期三举行的记者会上,加拿大内政部副部长康拉德描述了一名未经授权的用户在3月份的两天时间里如何访问了新斯科舍省信息自由门户网站上的私人文件。

如果这个词还适用的话,黑客意识到,只要改变URL中的文件编号,就可以查看政府网站上的私人pdf文件。使用一个脚本依次替换这些数字,这个人可以在没有人注意到的情况下下载这7000份文件。

当我听到这句话的时候,我首先想到的是"那可能是我"

我做了25年的报道才弄明白这个简单的事实,但所有政府登记处的文件都是按顺序编号的。假设我在法院的电脑上看一份法庭文件;如果我取文档号并添加1,我将得到下一个归档的文档。公司文件也一样。财产记录也一样。等等。

我一直都这么做,这绝对没有什么违法的。这些是公开文件,我有权查阅。“数字戏法”让我成为一个更好的记者。

我几乎每天都会访问FOIPOP网站,并链接到其中的文件。我现在有点惊讶,我不知道那些文件是按顺序编号的。以我链接到的文档为例1月新斯科舍省美术馆的“文化中心”计划;这里是网址:

https://foipop.novascotia.ca/foia/views/_AttachmentDownload.jsp?attachmentRSN=7433

因为站点关闭了,URL现在不能工作。但你看到" 7433 "了吗?如果我再细心一点,我就会意识到,如果我只是将它更改为7434,就会得到序列中的下一个文档。我会的。我肯定会的。这是我在工作中天生的好奇心。现在,我在技术上并不成熟,所以我只是手动执行“数字技巧”,在这种情况下,我将浪费几个小时将下一个数字输入到序列中以获得一个新文档。但是,如果我知道如何编写脚本使流程运行得更快,我就会这么做,我就会把文档转储到一个文件中,以便在空闲时检查。

那我是不是就成了潜在的骗子了?不,当然不是。意图很重要。我访问公共文件的目的是报道它们,而不是窃取身份或欺骗他人。如果我发现了我知道不应该公开的材料,我会通知网站所有者(这种情况在我的职业生涯中实际上发生过两次)。

我不知道那个被逮捕的19岁女孩在做什么,但我猜任何侵犯隐私的行为都是完全无意的。我的猜测是,他和我一样,看到了一个放置在面向公众的网站上的下载信息的简单方法,而个人信息只是副产品,而不是目标。我的意思是,就连我自己都知道,如果我做了坏事,我会用代理服务器和借用IP地址来掩盖我的身份,以避免被发现;显然,这个人在技术上很有头脑,可以很容易地做到这一点。

但是,即使被逮捕的人有恶意,隐私被侵犯的主要原因不在于他本人,而在于那些负责建设和维护网站的人。

这次逮捕看起来确实像是一次误导行动——称之为犯罪,这样我们就不会因为草率的程序而受到指责。

国王学院新闻学教授弗雷德·瓦伦斯-琼斯在一连串的推文昨天晚上:

2.Cogswell

科格斯韦尔换乘计划昨晚推出,好评如火,Lama El Azrak报道为…我们现在叫它什么?地铁吗?明星吗?“哈利法克斯星际地铁”有点拗口,但这就是它的品牌。

对于这个概念方案,无论如何我都没有强烈的意见,只有两点建议:

1.拆掉赌场,建一个真正的海滨公园。赌场是滨水区的死角,拆除它会打开整个科斯韦尔区。死气沉沉的海滨、地狱般的建筑、吸人灵魂的停车场,以及赌博带来的社会弊端,这些成本远远超过了赌博带来的收入。把它拆了。

2.拆除连接贸易大厦至丰业广场停车场的行人道。没有人经常使用它,那些使用它的人可以在街道上使用适当的人行横道。移走行人道可以让人们从上科格斯韦尔街(Cogswell Street)看到滨水区的一部分(大部分情况下,珀迪码头(Purdy’s Wharf)仍然挡在前面),这符合“设计人力资源管理”(HRM By Design)的理念。但更重要的是,它会给街区带来一些急需的空间,现在的街区感觉像是通往刑讯室的潮湿走廊。

除此之外,最近有消息称,办公空间的估价大幅下降,我不知道该计划的财务方面是否还有意义。我想整个城市都将建造公寓;这本身并没有什么错,但最有可能的是非常高端的住房,而不是为普通人准备的。

3.中国人在哈利法克斯

加拿大新闻社记者Brett Bundale说看一看哈利法克斯日益增长的中国人口

的观点

1.单词

“你是否听到一个词或一个短语,然后想‘我应该记住它,它可能会派上用场’?”斯蒂芬·阿奇博尔德问道

我也是!但我的注意力就像蚊子一样,所以除非我记下格言,否则它们就会消失。我的工作界面上到处都是小纸片,最终我会做一些整理,把单词和短语添加到我电脑上的文档中。(这份文件被称为模糊通道,因为这是我在2004年左右保存的第一个短语)。

现在,就像Facebook一样,我允许你访问我的私人文件。这是你第一次看到在单词部分吸引我注意的是什么(“闪亮的物体”是吸引我眼球的短语之一)。

你可以点击链接查看阿奇博尔德的全部文字,以下是他的结论:

大约在1970年,《时代》杂志发表了三个专栏的行话,称为“瞎说生成器”(Baffle-Gab Generator)。你所要做的只是从每一栏中随机选择一个单词,来制造一些当代的、听起来很胡言乱语的东西。只是为了你,我从我收集的单词中制作了一个最新的生成器。装满你的靴子。

政府

城市

周四

上诉常务委员会(周四上午10点,市政厅)-这是议程

科格斯韦尔地区活动摊位(星期四下午12时至6时,哈利法克斯北纪念公共图书馆)-都是关于科格斯韦尔的

中心图则-讨论A组方案(周四,下午6点,NSCC滨水校区神话般的雷·伊凡尼纪念和庆祝校园)-信息在这里

公众谘询会-个案21099(周四晚上7点,贝德福德Basinview Drive社区学校食堂)-一件事在贝德福德的第四街。

星期五

社区设计谘询委员会(周五上午11:30,市政厅)-这是议程

今天和周五没有公开会议。

在校园

达尔豪斯

周四

在线市场搜索列表:两项用户体验研究(周四上午11:30,Goldberg计算机科学大楼大礼堂)-萨斯喀彻温大学的Kewen Wu将发表演讲。

代数与数论中的中心极限定理(星期四下午2:30,大通大厦319室)-皇后大学的拉姆·默蒂先生将演讲。

泌尿科研究日(周四下午4:30,塔珀林克B剧院)-主讲人Colin P. N. Dinney将以“BCG无反应NMIBC的新兴治疗”为主题发表演讲。

马里和萨赫勒地区的新发展(周四下午6:30,哈利法克斯中央图书馆林赛展厅)-与Bruno Charbonneau、Shelly Whitman和David Black进行圆桌讨论。

在港口

6点:ZIM塔拉戈纳,从西班牙阿尔赫西拉斯港抵达41号码头
7:15am:Skogafoss,从纽芬兰的阿真提亚港抵达42号码头

阿卡迪亚。图片来源:Halifax Examiner

上午8:阿卡迪亚这艘油轮从欧文石油公司启航出海
8:45am:Scotian海这艘补给船从旧海岸警卫队基地驶往9号码头
10点:Skogafoss,由42号码头启航出海
上午11:早上克拉拉,从英国南安普顿到达Autoport
中午:Nolhanava,滚装船货物从圣皮埃尔港抵达36号码头
调查表:ZIM塔拉戈纳这艘集装箱船从41号码头驶往纽约

脚注

今天早上文件很短,因为我得早点去法庭。

评论

  1. 我对侵犯隐私的看法也一样。如果有人违反了隐私,那就是政府和它的承包商,因为他们似乎对这些“机密”数据没有任何保护。

  2. 以下是下载历史地点注册所有网页所需的代码。它是用powershell编写的,自2007年以来销售的每一台windows个人电脑都配有powershell。

    $x=1000;$x -le " 50000 ";$ x + +) {
    wgethttp://www.historicplaces.ca/en/rep-reg/place-lieu.aspx?id= $ x输出文件“C: \ temp \ x.html美元”

    它的工作原理是,$x是我们想要获取的网页的连续id的变量,第一行表示在1000到50000之间循环,每次循环增加1。第二行获取站点url的内容(插入$x)并将其输出为HTML文件。花括号基本上包含要循环通过的部分。

  3. 蒂姆,在FOIPOP问题上,你说“逮捕看起来确实像是误导行动”

    我不敢苟同,在调查的时候,不知道意图,也不知道逃跑的风险;有太多的未知,不能简单地敲开嫌疑人的门问问题。需要收集证据,如果一旦分析了证据,发现已经发生了犯罪,那么你或反对党会说什么,然后警察不得不去寻找他们刚刚释放的嫌疑人。你可能会说,警察是无能的,因为他们一度抓住了嫌疑犯,但在弄清是否发生了犯罪之前就把他放了。“一鸟在手胜过双鸟在林”这句话很有道理。

    保守党表示,自由党应该立即通知公众,他们认为FOIPOP数据存储被“入侵”了。但谁会真正从立即发布的信息中受益呢?这次“入侵”发生在一个月前,所以任何有真正犯罪意图的人可能已经采取了行动。没有信用卡数据被下载,所以立即的财务风险不是问题。当“黑客”第一次做的时候,坏人会如坐针毡,看看他的“黑客”是否被发现了。一旦发现漏洞,仅说FOIPOP在线门户“关闭”,就给了警方必要的时间来收集所需的权力,对嫌疑人的住所进行“合法”搜查。立即向公众公布所有已知的事实有可能提醒嫌疑人,他的“黑客”终于被发现了,并给他一个机会销毁可能的证据(如果这个人认为他/她在一开始就犯了罪)。立即公布“黑客事件”和警方正在进行的调查信息只会对嫌疑人有利。

    保守党称这次“黑客攻击”是“前所未有的”。拥有更强大IT安全资源的公司以前也遭到过黑客攻击;苹果,亚马逊,雅虎,微软,等等。现实情况是,任何连接到网络(公共或其他)的计算机系统都不能被认为是安全的。该省的IT人员在“黑客入侵”被发现后采取了有效的行动……过程中唯一的失误是,第一个注意到可能的“黑客入侵”的工作人员留下了语音信息,而不是直接向权威人士报告。我看不出有任何掩饰的迹象。

    媒体和公众要求政府允许他们在线访问FOIPOP数据,政府也这样做了。有漏洞是不幸的;但这显然是无意的。人类创造的一切都有失败的可能,而且常常如此;真正重要的是失败后发生的事情。如果想要“轻松”地访问FOIPOP数据,就必须认识到要安全可靠地提供访问是有一个学习曲线的。“黑客”是一个简单的数值替换过程;一个孩子可以看到,一旦它被指出,并且花了一年多的时间才被利用(利用只有一次……还有待观察),我们应该认为自己是幸运的。该省的在线数据访问门户是否存在更多漏洞?也许; but they are unknown to the public at this time.

    这次“入侵”真的是一次入侵吗?当提交访问省级数据门户的请求时,必须同意按预期使用门户(我认为)。使用命令行接口(脚本)而不是正常的访问方法,这是否违反了“用户访问协议”?“黑客”是否访问了他/她没有获得授权的数据?如果该人注意到他们无意中下载了违反“隐私”规定的信息,该人是否有义务“根据法律”立即通知有关部门?这些都是未来需要回答的问题。我怀疑将对“用户访问协议”进行一些更改(不仅仅是针对FOIPOP门户)。

    但总而言之,一旦泄露被注意到,省IT团队似乎采取了适当的行动,部长没有立即向公众公布所有事实是正确的,因为他评估了立即公布所有事实所涉及的直接风险。反对派将会获得一些政治利益,但如果情况完全相反,我会很惊讶“他们的”IT团队或部长是否会采取不同的行动。撇开阴谋论不谈,最后,这可能只是一个学习经验,而不是犯罪……我希望如此。

    但我相信,一旦FOIPOP网站恢复可用,所有的“事实”都将暴露无遗,每个新闻机构都可以FOIPOP从数据存储中挖出FOIPOP“黑客”的存档“事实”。

  4. 我想补充的是,完全有可能看到顺序ID,编写脚本下载文件,下载它们,并且*永远不知道它们中的任何一个是机密*。毕竟,你是一个理智和理性的人,为什么私人文件可以像公共文件一样被访问呢?但是我可以想出十几个理由来需要FOIPOP版本的本地缓存,所有这些理由都是合法的。也许当你开始读的时候你就会意识到,但否则你不会知道直到HRP踢开你的门。

  5. 众所周知,信息公开不充分,而现在,波普教育也不充分。

    也许省政府应该雇佣Facebook来创建一个更安全的FOIPOP。

留言回复

评论的政策

在哈利法克斯审查员上的所有评论都服从我们的评论政策。您可以查看我们的评论政策在这里