“農(nóng)夫與蛇”的故事

近期，一個開放系統(tǒng)非營利組織的安全工程師(也曾是該項目的開發(fā)人員之一)近期向高組織報告了一次數(shù)據(jù)泄露事件。

按理來說，作為回報，他首先應(yīng)該得到該組織的感謝，感謝他負(fù)責(zé)任地披露，但后來得到的卻是警察和律師的來電，估計他心都涼了一大半。

Apperta基金會是一家總部位于英國的非營利機(jī)構(gòu)，由英國國家醫(yī)療服務(wù)體系(NHS England)和英國國家醫(yī)療服務(wù)體系(NHS Digital)提供支持，旨在促進(jìn)數(shù)字健康和社會醫(yī)療領(lǐng)域的開放系統(tǒng)和標(biāo)準(zhǔn)。

[[393731]]

GitHub存儲庫泄露了密碼、密鑰和數(shù)據(jù)庫

就在這個星期，一位名叫Rob Dyke的英國云安全工程師公開講述了一次負(fù)責(zé)任的數(shù)據(jù)時間披露是如何讓他陷入法律困境的。

本月早些時候，Dyke發(fā)現(xiàn)了一個公開的GitHub存儲庫，它泄露了屬于Apperta基金會的密碼、API密鑰和敏感財務(wù)記錄。

在發(fā)現(xiàn)這個GitHub存儲庫時，Dyke表示，這個存儲庫至少從2019年就暴露在外網(wǎng)了，工程師私下向Apperta報告了這一點，并得到了他們的感謝。

然而，在3月9日，他收到了上訴律師的法律信函，導(dǎo)致他不得不聘請自己的律師來代表他處理這件事情。

除此之外，他還收到了一封來自諾森布里亞警方一名網(wǎng)絡(luò)調(diào)查員的電子郵件，其中的內(nèi)容涉及到關(guān)于“濫用計算機(jī)設(shè)備”的控訴。

在接受BleepingComputer的電話采訪時，Dyke表示，他此前也曾與Apperta合作過，作為目前在IT部門工作的人，他非常熟悉Apperta的既定機(jī)制以及向供應(yīng)商負(fù)責(zé)報告安全漏洞的行業(yè)做法。

當(dāng)他發(fā)現(xiàn)數(shù)據(jù)泄露時，Dyke立即向Apperta報告了相關(guān)事件詳情。

然而，為了記錄他所報告的內(nèi)容，研究人員對他遇到的數(shù)據(jù)進(jìn)行了加密，并將其安全地存儲了90天，這也是作為協(xié)調(diào)披露過程的一部分。

Dyke在接受采訪時說到：“我知道該怎么向他們報告。因此，我通過他們既定的程序向他們報告了此事，我當(dāng)時也收到了他們的回復(fù)，他們向我表示了感謝，并承諾會立刻解決相關(guān)問題。之后我就再也沒去想這些問題了...”

但是，一個多星期之后，Dyke收到了Apperta的律師發(fā)來的一封信，并聲稱Dyke的行為是“非法行為”，然后要求其書面承諾刪除Dyke查看過的任何數(shù)據(jù)。

這件事情讓Dyke非常的驚訝，尤其是考慮到他曾為Apperta工作過，而且Apperta團(tuán)隊里面有很多人還認(rèn)識他。

在BleepingComputer看到的電子郵件中，Dyke進(jìn)一步向Apperta的律師澄清，他所看到的信息已經(jīng)在GitHub上公開泄露了兩年多，并不是作為非法黑客活動的一部分而獲得的專有數(shù)據(jù)。

[[393732]]

作為責(zé)任披露的一部分，Dyke收集的細(xì)節(jié)是從Apperta在互聯(lián)網(wǎng)上發(fā)布的可公開訪問的公共URL獲取的。

Dyke還專門發(fā)表了書面聲明，并表示自己會銷毀從公共網(wǎng)絡(luò)服務(wù)(GitHub)獲得的任何存儲庫副本，并提供銷毀證明。

這名工程師告訴BleepingComputer，他相信警方的調(diào)查與Apperta事件有關(guān)，因為諾森布里亞警方負(fù)責(zé)監(jiān)督Apperta辦公室所在的司法管轄區(qū)。

Dyke表示：“我認(rèn)為，對于一個提倡公開的組織來說，這不是一個可行的方法，所有這些都是與之相關(guān)的：透明度、問責(zé)制和責(zé)任感。既然我發(fā)現(xiàn)了這個漏洞，并幫助他們解決了，這根本不是解決問題的方法。我向[他們]保證數(shù)據(jù)會被刪除，而且已經(jīng)刪除了。”

英國計算機(jī)濫用法案嚇跑了80%的信息安全專業(yè)人士

這并不是信息安全工程師第一次被指控進(jìn)入英國《計算機(jī)濫用法案》(CMA)的法律灰色地帶。而英國的各大企業(yè)、組織和學(xué)術(shù)界都在敦促英國政府對已過時的《計算機(jī)濫用法案》進(jìn)行改革。

根據(jù)CyberUp的調(diào)查研究，80%的安全專業(yè)人員在日常工作中都害怕觸犯計算機(jī)濫用行為。

1990年發(fā)布的英國《計算機(jī)濫用法案》的規(guī)定非常廣泛，甚至可以簡單地將遇到數(shù)據(jù)泄露便可視為“犯罪行為”。根據(jù)該法案，甚至英國威脅情報提供者探測外國系統(tǒng)的工作活動也可能被視為非法行為。

BleepingComputer曾多次聯(lián)系A(chǔ)pperta基金會和諾森布里亞警方征求意見，但我們沒有得到回復(fù)。