.
Quando um distrito escolar do Texas vendeu alguns laptops antigos em leilão no ano passado, provavelmente não esperava acabar em uma briga legal pública com uma oficina de conserto de computadores local – mas um debate sobre o que fazer com os dados do distrito encontrados nas máquinas liquidadas levou precisamente a isso.
O Distrito Escolar Independente Consolidado de San Benito vendeu mais de 3.500 dispositivos em leilão em julho de 2022, dos quais 700 foram comprados pela loja local de conserto e revenda de computadores RDA Technologies.
O co-proprietário da RDA, David Avila, disse que encontrou 11 discos rígidos que o distrito não conseguiu limpar e que continham dados confidenciais de funcionários e alunos. Ávila disse à mídia local que relatado a presença dos dados ao distrito em outubro, dizendo “legalmente, é seu trabalho eliminar ou destruir os discos rígidos”.
É aqui que as coisas começam a ficar complicadas.
O distrito admitido à exposição dos dados como resultado da venda à RDA, mas disse que a empresa de Ávila “não concordou com a nossa solução proposta”. Ávila contestou essa caracterização no final de janeiro entrevistadizendo que o distrito queria que ele assinasse um acordo de sigilo como parte de um acordo para comprar de volta os 11 computadores e outros 503 que não haviam sido inspecionados.
Ávila diz que quer que o distrito seja aberto sobre os erros em seu processo – particularmente porque ele alega que alguns computadores vendidos pelo distrito foram para compradores estrangeiros – então não está disposto a assinar um NDA.
O distrito também alegou que não teve a chance de inspecionar as máquinas para verificar se continham os supostos dados. Ávila também negou, alegando que um representante do distrito visitou sua loja para inspecioná-los em outubro. A mídia local informou que inspecionou uma máquina e verificou que os dados estavam presentes.
O distrito reagiu com um declaração em 2 de fevereiro, juntamente com um cópia de [PDF] das comunicações com a RDA. Entre essas comunicações estão acusações dos representantes legais do distrito de que Ávila está tentando “extorquir” o distrito.
Convenientemente ausente do tesouro de comunicações está a mensagem inicial de Ávila para San Benito. Também está faltando qualquer coisa que realmente incrimine Ávila em extorsão, como os advogados de San Benito alegam nas missivas.
O distrito também convocou a RDA para um esquema semelhante em um distrito escolar diferente do Texas em 2019. A RDA tinha máquinas da Edcouch-Elsa CISD onde informações semelhantes foram encontradas. Ávila disse na época, ele queria que Edcouch-Elsa notificasse o público, como neste último caso.
A Edcouch-Elsa disse que também não conseguiu chegar a um acordo com a RDA.
De acordo com San Benito CISD, o assunto está agora nas mãos do Texas AG, que não está olhando para suas falhas de limpeza de dados, mas está investigando o RDA. “O Distrito está fornecendo informações ao procurador-geral do Texas para ajudar os representantes do gabinete do procurador-geral do Texas em sua futura inspeção da RDA Technologies”, disse a superintendente Theresa Servellon.
Corrija agora para evitar uma aquisição do Jira
Várias versões do Jira Service Management Server e Data Center da Atlassian contêm uma vulnerabilidade de autenticação que pode permitir que um invasor não autenticado se faça passar por usuários e obtenha acesso remoto aos sistemas afetados.
“Com acesso de gravação a um diretório de usuários e e-mail de saída ativado em uma instância do Jira Service Management, um invasor pode obter acesso a tokens de inscrição enviados a usuários com contas que nunca tiveram login”, Atlassian afirmou em sua assessoria.
A equipe australiana disse que o bug ganha uma pontuação CVSS de 9,4.
Esses tokens podem ser acessados quando um invasor é incluído em um problema ou solicitação do Jira com o usuário-alvo ou quando um invasor obtém acesso a um e-mail contendo um link de solicitação de visualização de um desses usuários. A Atlassian disse que as contas de bot são particularmente vulneráveis nesse cenário, pois costumam ser usadas para se comunicar com outras contas de usuário, mas raramente veem um login humano.
As versões 5.3.x, 5.4.xe 5.5.x foram todas afetadas, admitiu a Atlassian, e recomenda a atualização para as versões mais recentes agora.
Para aqueles que não podem implantar o patch imediatamente, a Atlassian também emitiu um arquivo JAR que atualizará o servicedesk-variable-substitution-pluginmas disse que é apenas uma correção temporária.
A TSA pede às companhias aéreas que tenham cuidado com essa lista de exclusão aérea
A Transportation Security Administration instou as companhias aéreas a dar uma olhada em seus sistemas para garantir que nada esteja errado depois que um hacker detectou uma cópia de 2019 da lista de exclusão aérea em um servidor voltado para o público não seguro mês passado.
Embora não pareça ter sido publicado online, um porta-voz da TSA disse a vários meios de comunicação que o governo emitiu uma diretriz de segurança para todas as companhias aéreas domésticas. Por um porta-voz da TSA, a diretiva “reforça os requisitos existentes sobre o manuseio de informações de segurança confidenciais e informações de identificação pessoal”.
Podemos esperar que esses requisitos existentes tenham sido totalmente ignorados no CommuteAir, que expôs a lista deixando um servidor de teste exposto à Internet. O servidor em questão foi desativado antes que a notícia da exposição fosse divulgada.
No entanto, os republicanos do Comitê de Segurança Interna não estão entusiasmados com o incidente, dizendo ao administrador da TSA David Pekoske em uma carta que a notícia da descoberta da lista de exclusão aérea foi alarmante.
“A noção de que tal banco de dados conseqüente seja deixado inseguro é uma questão relativa à segurança cibernética, à segurança da aviação, bem como aos direitos e liberdades civis”, escreveram os representantes Mark Green e Dan Bishop em sua carta.
Os representantes deram ao TSA até 8 de fevereiro para responder às suas perguntas. ®
.
