Sunday, May 19, 2013

My Take on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 City of Akron Hack

On Thursday, May 16, 2013, a Turkish hacking group called Turkish Ajan hacked into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 City of Akron and released a number of files that contain personal information on a number of Akron citizens. According to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 city, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attackers were able to gain access into some internal systems where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y obtained tax information.

The news has died down on this for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 moment, but from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information that has been released, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are some things we can infer:

1. The attackers compromised cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 city's public website. From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 errors that were being displayed on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 site, information that has been released from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 city, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way this group works, it was likely through SQL injection (although this has not been specifically stated yet).

2. The attackers compromised cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 city's internal systems and obtained access to tax systems. It is unknown if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were able to do from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 city's public website, through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tax paying system, or some ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r server. In any case, this appears to be where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attackers got cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y posted.

3. Around 25K people are affected.

4. The FBI is involved and was called in quickly after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 compromise was discovered. IMO, this is good.

Any additional information on what happened is pretty much speculation. Trust me, I've been speculating alot and have a pretty good idea of what happened, but I have no proof. Hopefully whoever is doing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 forensics for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 city will have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir findings released at some point. As an Akron citizen, and tax payer, I want to know this information.

However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is one thing that I think needs brought up. Why was this information stored unencrypted? If it was encrypted, how did cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attackers obtain access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 keys to decrypt it?

The information that was released contains social security numbers of both cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 taxpayer and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir spouse, and credit card numbers. According to PCI standards (and my understanding), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 credit card numbers should have been encrypted. The federal government is required to comply with PCI, what about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 city of Akron government?

As for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SSNs, I don't know of any specific regulations that requires that information to be encrypted (please let me know if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is), but I can't imagine that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is any reason it shouldn't be. I have a feeling cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are at least 25,000 people who agree with me.

One final item of note. The press has been getting quotes from Deputy Mayor Rick Merolla. With all due respect sir, shut up. I can only imagine your IT and information security people are cringing whenever cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y read your quotes pertaining to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 city of Akron systems.

I'm sure you are very smart, but its obvious you are not familiar with information security. Quotes such as "Our systems are all, all our virus protection, intrusion protection systems, all of our virus software is still up to date so we are still not sure how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y got in" show this. Let those performing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 investigation or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 talented IT personnel you employ speak on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se things.

If you like, I am personally offering to give you a training course on information security, hackers, and how attacks take place. This will at least give you an idea on why cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 things you have been quoted as saying are cringe-worthy.