“农夫与蛇”的故事
近期,一个开放系统非营利组织的安全工程师(也曾是该项目的开发人员之一)近期向高组织报告了一次数据泄露事件。
按理来说,作为回报,他首先应该得到该组织的感谢,感谢他负责任地披露,但后来得到的却是警察和律师的来电,估计他心都凉了一大半。
Apperta基金会是一家总部位于英国的非营利机构,由英国国家医疗服务体系(NHS England)和英国国家医疗服务体系(NHS Digital)提供支持,旨在促进数字健康和社会医疗领域的开放系统和标准。
GitHub存储库泄露了密码、密钥和数据库
就在这个星期,一位名叫Rob Dyke的英国云安全工程师公开讲述了一次负责任的数据时间披露是如何让他陷入法律困境的。
本月早些时候,Dyke发现了一个公开的GitHub存储库,它泄露了属于Apperta基金会的密码、API密钥和敏感财务记录。
在发现这个GitHub存储库时,Dyke表示,这个存储库至少从2019年就暴露在外网了,工程师私下向Apperta报告了这一点,并得到了他们的感谢。
然而,在3月9日,他收到了上诉律师的法律信函,导致他不得不聘请自己的律师来代表他处理这件事情。
除此之外,他还收到了一封来自诺森布里亚警方一名网络调查员的电子邮件,其中的内容涉及到关于“滥用计算机设备”的控诉。
在接受BleepingComputer的电话采访时,Dyke表示,他此前也曾与Apperta合作过,作为目前在IT部门工作的人,他非常熟悉Apperta的既定机制以及向供应商负责报告安全漏洞的行业做法。
当他发现数据泄露时,Dyke立即向Apperta报告了相关事件详情。
然而,为了记录他所报告的内容,研究人员对他遇到的数据进行了加密,并将其安全地存储了90天,这也是作为协调披露过程的一部分。
Dyke在接受采访时说到:“我知道该怎么向他们报告。因此,我通过他们既定的程序向他们报告了此事,我当时也收到了他们的回复,他们向我表示了感谢,并承诺会立刻解决相关问题。之后我就再也没去想这些问题了...”
但是,一个多星期之后,Dyke收到了Apperta的律师发来的一封信,并声称Dyke的行为是“非法行为”,然后要求其书面承诺删除Dyke查看过的任何数据。
这件事情让Dyke非常的惊讶,尤其是考虑到他曾为Apperta工作过,而且Apperta团队里面有很多人还认识他。
在BleepingComputer看到的电子邮件中,Dyke进一步向Apperta的律师澄清,他所看到的信息已经在GitHub上公开泄露了两年多,并不是作为非法黑客活动的一部分而获得的专有数据。
作为责任披露的一部分,Dyke收集的细节是从Apperta在互联网上发布的可公开访问的公共URL获取的。
Dyke还专门发表了书面声明,并表示自己会销毁从公共网络服务(GitHub)获得的任何存储库副本,并提供销毁证明。
这名工程师告诉BleepingComputer,他相信警方的调查与Apperta事件有关,因为诺森布里亚警方负责监督Apperta办公室所在的司法管辖区。
Dyke表示:“我认为,对于一个提倡公开的组织来说,这不是一个可行的方法,所有这些都是与之相关的:透明度、问责制和责任感。既然我发现了这个漏洞,并帮助他们解决了,这根本不是解决问题的方法。我向[他们]保证数据会被删除,而且已经删除了。”
英国计算机滥用法案吓跑了80%的信息安全专业人士
这并不是信息安全工程师第一次被指控进入英国《计算机滥用法案》(CMA)的法律灰色地带。而英国的各大企业、组织和学术界都在敦促英国政府对已过时的《计算机滥用法案》进行改革。
根据CyberUp的调查研究,80%的安全专业人员在日常工作中都害怕触犯计算机滥用行为。
1990年发布的英国《计算机滥用法案》的规定非常广泛,甚至可以简单地将遇到数据泄露便可视为“犯罪行为”。根据该法案,甚至英国威胁情报提供者探测外国系统的工作活动也可能被视为非法行为。
BleepingComputer曾多次联系Apperta基金会和诺森布里亚警方征求意见,但我们没有得到回复。
