英国の諜報機関がパスワードをプレーンテキストで保存する

政府機関の中には、業務の中核ではないシステムであっても、セキュリティの公正な把握が最も期待される政府機関があります。これは、オーストラリア税務署の出版注文システムで私たちが考えたものですが、悲しいことに、私たちは間違っていました。

大学生Dan Farrallは、英国政府のコミュニケーション本部(GCHQ)のキャリアサイトが完全な平文でパスワードを送り返していることを発見しました。英国外の私たちにとって、GCHQは英国の諜報機関の1つであり、主にシグナルインテリジェンスを扱い、「英国の電子通信とデジタルスペースを守る」ことを義務づけています。

それは、国家の安全保障サービスと秘密情報サービスMI5とMI6と連携しており、米国国家安全保障局(NSA)またはオーストラリアの防衛信号局に相当すると考えられています。

Farrall氏が彼のブログで指摘したように、評判への害から離れて、これらのシステム内で保持される情報の種類は重要である。

Farrallの主張を再確認し、パスワードが実際にプレーンテキストで送られていることを確認し、その間にマルウェアリバースエンジニアのアプリケーションを開始しました。

通常の居住情報とは別に、パスポート番号、申請したい理由、申請されている職務に関連するスキル、教育歴、資格が必要でした。

そのような情報は、将来の政府の侵入テスターを絞り込み、おそらくは変えたい、あるいは英国政府の脆弱性を見つけてパッチを当てる人々に役立つと思われる外国の人にとって、特に興味深いものだと思います。

Farrall氏は2月末に問題についてGCHQに連絡したと主張しましたが、回答はありませんでした。

GCHQはウェブサイトの質問に対して、「GCHQで使用されている現在の申請者追跡システムはレガシーシステムである」と回答しました。これは既にそれを置き換え中です。

プレーンテキストパスワードの主な問題は、ユーザー名とパスワードのデータベース全体が保護されておらず、違反があった場合にアクセスできることですが、GCHQはパスワードが電子メールで送信されるという問題だけであると考えました。

ウェブサイトによると、「非常に少数の申請者(アカウントをリセットする必要がある人)には新しいパスワードが送られる」と、データの保護方法に関する明確な指示がある。

上のスクリーンショットの電子メールから、これらの明確な指示には、パスワードを書き留めたり、他の人にそれを知らせることは含まれていません。

セキュリティ:FBIがFUDを超えてどのように移行するか、イノベーション、M2M市場がブラジルに戻ってくる、セキュリティ、FBIがCrackasのメンバーを逮捕、米国の政府関係者をハッキングした姿勢、セキュリティ、Wordpress重要なセキュリティホールを修正するようになりました

2012年3月27日、10.45amに更新されました。AEDST:GCHQからの回答が含まれています。

セキュリティの基礎を再考する:FUDを超えて移動する方法

M2M市場はブラジルに戻ってくる

FBIは、米国の政府関係者をハッキングしたとの態度で、Crackasのメンバーを逮捕した

WordPressは、重要なセキュリティホールを修正するために今アップデートするようユーザに促す