为了保护这座城市不受一种计算机安全风险的威胁,旧金山地区检察官办公室很可能创造了另外一个。
旧金山地区检察官办公室Kamala Harris公开了近150个用户名和密码部门连接到城市的虚拟专用网络。这些密码本周在法庭文件中作为附件A提交,这是针对Terry Childs被控因拒绝放弃管理网络密码而被控城市网络人质的案件减少500万美元的保释金提出的。 Childs于7月12日因电脑被篡改而被捕,并被关押在县监狱。
虽然他们将密码放在公开档案中,但市检察官似乎认为他们很敏感。
密码根据法院提交的文件,在Childs的计算机上,对城市的计算机网络构成“迫在眉睫的威胁”。孩子们可以使用这些名字和密码“通过使用他们的密码进入该系统来模拟城市的任何合法用户”,这是针对保释减免状态的动议。
尽管DA的办公室没有说明密码已被使用,熟悉这种情况的消息来源称他们将登录到该城市的虚拟专用网络,并且此类信息是像Childs这样的网络管理员所期望的。
发布这些密码在公共场合造成安全风险,尽管密码不足以让犯罪分子进入该城市的VPN。这些密码是所谓的“第一阶段”密码,并且必须与第二密码结合才能访问网络,该消息来源称。
密码由城市工作人员从家用电脑或通过笔记本电脑访问网络使用,而他们在城市办公室之外。密码适用于许多城市部门,包括警察局,市长办公室以及儿童部门的电信和信息服务部门(DTIS)。
城市应该“积极行动”以尽快更改密码尽管如此,密码管理软件供应商Cloakware的数据中心解决方案首席技术专家罗伯特·格拉斯表示,该公司的发言人Erica Derryck拒绝对此事发表评论。负责监督DTIS的市长办公室没有回复要求对此故事发表评论的消息
要更改密码,城市将不得不重新配置每台远程连接的PC上运行的VPN软件,这些软件尚未完成, source说。
有些密码会因为更改而受益,因为它们与VPN登录名相同或极易猜测。
Childs的情况在旧金山已成为近两年的头条新闻故事
在他7月12日被捕后九天内,他拒绝将管理密码交给城市FiberWAN网络上的五个中央网络设备,该网络拥有约60%的市政府网络流量。 Childs是DTIS的工程师负责人,他使用登录的Maggot617,与管理层进行了长达数月的争执,即使在他被监禁之后也保存了密码。
星期一,他将这些密码交给了市长两人之间的秘密监狱会议。 Childs的律师认为,由于部门无能,市长是唯一有资格获得网络密钥的人。
鉴于针对Childs的刑事指控,该市应该已经重新设置了这些密码,Bruce Schneier说,首席执行官BT的安全技术官员。 “现在修复它,”他说。 “到那里去,让每个人的密码到期,然后让他们都重新登录,现在就做,这并不难。”