我一报告数据泄露,律师和警察就发现我有争议。AppertaFoundation是一家总部位于英国的非营利组织,由国民健康服务体系(NHS)和英国国民保健服务数字化(NHSDigital)发起,致力于推动数字医疗和社会关怀领域的相关标准。GitHub驻英国的安全工程师RobDyke公开了一个案例,在这个案例中,负责任的数据泄露披露让他陷入了法律纠纷。本月早些时候,RobDyke在GitHub上发现了一个存储库,其中存储了AppertaFoundation的密码、API密钥和财务信息。RobDyke向Apperta基金会报告了这一事件,并得到了Apperta基金会的感谢。然而,3月9日,罗伯·戴克收到了律师的来信,通知他将聘请自己的律师来打官司。警方调查人员还向他发送了相关电子邮件,告知他涉嫌“滥用电脑”相关罪行。RobDyke公开表示他曾与Apperta基金会合作。作为一名在IT部门工作的人,他非常熟悉如何负责任地向供应商报告安全漏洞和行业惯例。因此,当他发现数据泄露时,他立即向Apperta基金会报告。出于报告的目的,罗伯戴克对发现的数据进行了加密,并将其作为证据保留以协助调查,并安全地保存了九十天。RobDyke表示,他按照Apperta基金会的既定程序报告了相关事件,Apperta基金会也回复表示感谢,并表示会进行核实。“我从没想过会发生这种事”——罗伯·戴克说。一周后,阿佩塔的律师表示,阿佩塔认为罗伯·戴克的行为是违法的,要求他承诺删除所有相关数据。RobDyke对此感到震惊,尤其是Apperta之前曾与他打过交道。根据邮件信息,RobDyke表示,他发现的数据已经在GitHub上公开了两年多,他并不是通过非法攻击获得的。RobDyke提供了一份书面声明,表示他将销毁从GitHub获得的数据副本,并提供销毁的证据。负责监督Apperta基金会所在司法管辖区的警察局也表示,他涉及“计算机滥用”相关指控。RobDyke认为这并不能解决问题。提高透明度、落实问责、强调责任感,都是解决办法,但简单的指责并不能解决问题。法律问题《计算机滥用法案》于1990年在英国颁布,其规定非常广泛,以至于报告数据泄露可能违法。根据Cyber??Up的一项调查,80%的安全人员在日常工作中都害怕破坏《计算机滥用法案》。多次爆出安全工程师涉嫌违反《计算机滥用法案》(CMA)罪名。时代在变,工业界和学术界都在敦促政府改革过时的法律。根据该法案,即使是英国威胁情报提供商检测外国系统的活动也可能被指控为非法。Apperta基金会和警方均拒绝置评。参考来源:BleepingComputer
