Foto: AP
Teile der Twitter-beleuchtet am Mittwoch Abend mit den Nachrichten der Federal Communications Commission, die jetzt unter der Leitung von Donald Trump-Beauftragter und ungeschönten Netzneutralität Gegner Ajit Pai, hatte geschrieben, eine Anweisung, die Beleidigung des Vorsitzenden in den gröbsten Bedingungen möglich.
Die Meldung—die ist nicht echt—ist gehostet auf der FCC-website, und angeblich eine PR-Aussage nur 16 Wörter lang: “Liebe amerikanischen Bürger, wir sind traurig, Ajit Pai ist so ein dreckiger Rückgrat cuck. Mit freundlichen GRÜßEN, die FCC.”
Versionen, die Erklärung schnell gemacht, für Y Combinator, wo es aufgeführt wurde, als ein “interner ” Witz’ memo über die Vorsitzende Pai,” ebenso wie Reddit, wo verschiedene links zu der Erklärung versammelten sich Hunderte von upvotes.
Das Dokument gehostet wird, auf eine offizielle FCC-Domäne, und kann hier eingesehen werden. Wenn es tatsächlich aus, indem Sie die FCC-Mitarbeiter, es würde fallen in Einklang mit der aufkommenden Heimindustrie im Bundes Mitarbeiter lose zu lassen, Ihre Gedanken über die Verwaltung, einige davon sind positiv.
Ach, das rebellische FCC-Mitarbeiter in diesem Fall sind ein Mythos. Der link zu dem vermeintlichen Anweisung ecfsapi.fcc.gpv, von denen die ersten vier Buchstaben stehen für “Elektro-Kommentar-filing-system.” Das ist das system der FCC verwendet für die öffentlichkeit hochladen Kommentare zu vorgeschlagenen Richtlinien und Vorschriften, und so ziemlich jeder ist frei upload, was Sie wollen.
Dieser Twitter-Nutzer, zum Beispiel, war in der Lage, das hochladen von PDF, um das system zu Lesen “Ayy lmao.”
Obwohl es scheint unwahrscheinlich, dass die FCC-Mitarbeiter gern Ihre neuen Vorsitzenden noch ein weiteres Trumpf-Beauftragter scheinbar auferlegt, die mit der mission zu zerstören, die dafür vorgesehenen Funktionen von Ihren Agenturen, ach—war das nicht zu.
Update 8/31/17 2:11 ET: Laut security-blogger, der die Gestalt Bule, Dateien enden auf eine offizielle FCC-Domäne, weil die Agentur frei bietet Informationen über die öffentliche API der öffentlichkeit—Teil einer design-Strategie Bule vorgeschlagen, könnte dazu führen, jemand ganz einfach hosting “malware auf dem FCC.gov website jetzt und verwenden Sie es in phishing-Kampagnen, die Links zu malware auf einer .gov website.”
“OP legit ist und er stolperte über diese Sicherheitsanfälligkeit,” Bule schrieb. “Er kommentierte die FCC.gov website kurz vor Mitternacht, deadline und er erkannte, dass Sie eine URL zugewiesen, die in einer Datei, bevor Sie einen Kommentar abgeben … Die ‘express’ – Kommentar-filing-system, dass die meisten Menschen nicht erlauben das Anhängen von Dateien und er war mit dem robusteren filing-Funktion.”
“Es ist auch wichtig zu beachten, dass OP glaubt, dass er nie zugestimmt, um die FCC.gov TOS weil er nie verwendet wird, für den ein API-Schlüssel, die er gerade verwaltet, um die URL durch Ihre fehlerhafte Kommentar-system, kein hacking beteiligt ist,” Bule Hinzugefügt.
In anderen Worten, der Benutzer sagte, er war in der Lage, um die Datei hochzuladen, ohne die Beantragung eines API-key und hab damit eigentlich vor dem Absenden einen Kommentar, was potentiell anzeigt, eine Schwachstelle in der ECFS-system.