白帽工程師Rob Dyke向非營(yíng)利組織Apperta報(bào)告了一起數(shù)據(jù)泄露事件，該組織對(duì)他負(fù)責(zé)人的披露表示感謝，同時(shí)也讓他陷入了法律糾紛。

Apperta基金會(huì)是一家總部位于英國(guó)的非盈利組織，由英國(guó)國(guó)家醫(yī)療服務(wù)系統(tǒng)(NHS)和NHS公司(NHS Digital)發(fā)起成立，致力于在數(shù)字醫(yī)療和社會(huì)護(hù)理領(lǐng)域推廣相關(guān)標(biāo)準(zhǔn)。

事起 GitHub

英國(guó)安全工程師Rob Dyke公開了一個(gè)負(fù)責(zé)地?cái)?shù)據(jù)泄露披露使他陷入法律糾紛的案例。

本月初，Rob Dyke在GitHub上發(fā)現(xiàn)了一個(gè)存儲(chǔ)著Apperta基金會(huì)的密碼、API 密鑰和財(cái)務(wù)信息的倉(cāng)庫(kù)。而Rob Dyke向Apperta基金會(huì)報(bào)告了該事件，并得到了Apperta基金會(huì)的致謝。

然而在3月9日，Rob Dyke收到了律師的信函，通知他要聘請(qǐng)自己的律師來打官司。警方的調(diào)查人員也向他發(fā)送了相關(guān)的電子郵件，通知他涉嫌“計(jì)算機(jī)濫用”相關(guān)罪名。

Rob Dyke公開表示，他曾經(jīng)與Apperta基金會(huì)合作過，作為一個(gè)在IT部門工作的人，他非常熟悉如何負(fù)責(zé)人地向廠商報(bào)告安全漏洞與行業(yè)慣例。所以他發(fā)現(xiàn)數(shù)據(jù)泄露時(shí)，就立刻向Apperta基金會(huì)報(bào)告了。

為了進(jìn)行報(bào)告，Rob Dyke將發(fā)現(xiàn)的數(shù)據(jù)進(jìn)行了加密，留作協(xié)助調(diào)查的證據(jù)，要安全地保存九十天。Rob Dyke表示他按照Apperta基金會(huì)的既定程序報(bào)告了相關(guān)事件，Apperta基金會(huì)也回復(fù)表示感謝并且聲明要進(jìn)行核查。

“我完全沒有想過會(huì)發(fā)生這樣的事情”——Rob Dyke如是說。

一周后，Apperta的律師表示，Apperta認(rèn)為Rob Dyke的行為是非法的，并且要求他承諾刪除相關(guān)所有數(shù)據(jù)。Rob Dyke對(duì)此表示十分震驚，尤其是Apperta此前還與他打過交道。

根據(jù)電子郵件信息，Rob Dyke表示他發(fā)現(xiàn)的數(shù)據(jù)在GitHub上已經(jīng)公開了兩年多，并不是他自己通過非法攻擊行動(dòng)獲得的。Rob Dyke提供了書面聲明，表示他將會(huì)銷毀從GitHub上獲得的數(shù)據(jù)副本，并提供銷毀的證據(jù)。

警察局也稱他涉嫌卷入“計(jì)算機(jī)濫用”相關(guān)的罪名中，該警察局負(fù)責(zé)督辦Apperta基金會(huì)所在的司法轄區(qū)。Rob Dyke認(rèn)為這樣并不能解決問題，提高透明度、落實(shí)問責(zé)制、強(qiáng)調(diào)責(zé)任感都是解決之道，可單純的指控并不能解決問題。

法律問題

英國(guó)在1990年頒布了《計(jì)算機(jī)濫用法案》，其條款之廣泛可能將報(bào)告數(shù)據(jù)泄露事件都視為違法行為。

根據(jù)CyberUp的調(diào)查顯示，80%的安全專家在日常工作中都害怕觸犯《計(jì)算機(jī)濫用法案》。已經(jīng)披露過很多次，安全工程師涉嫌觸犯《計(jì)算機(jī)濫用法案》(CMA)的指控了。

時(shí)代在不斷發(fā)展，業(yè)界和學(xué)界都督促政府對(duì)過時(shí)的法律進(jìn)行改革。根據(jù)該法案，甚至英國(guó)威脅情報(bào)提供公司探測(cè)外國(guó)系統(tǒng)的活動(dòng)可能也會(huì)被指控為非法。

Apperta基金會(huì)與警方都拒絕對(duì)此事發(fā)表評(píng)論。

參考來源：BleepingComputer