举报数据泄露反被起诉,法案灰色地带再次引发争议数据泄露被举报。按理说,作为回报,他应该首先得到组织的感谢,他负责任的披露,但他后来接到的却是警方和律师的电话。估计他的心凉了一大半。AppertaFoundation是一家总部位于英国的非营利组织,由NHSEngland和NHSDigital支持,旨在促进数字健康和社会医学的开放系统和标准。GitHub存储库泄露密码、密钥和数据库就在本周,一位名叫RobDyke的英国云安全工程师谈到了负责任的数据时序泄露如何让他陷入法律困境。本月早些时候,Dyke发现了一个公共GitHub存储库,该存储库泄露了属于Apperta基金会的密码、API密钥和敏感财务记录。在发现GitHub存储库后,Dyke表示该存储库至少从2019年开始就暴露在互联网上,工程师私下将此事报告给了Apperta,Apperta对此表示感谢。然而,3月9日,他收到上诉律师的法律函件,导致他不得不聘请自己的律师代表他处理此事。他还收到了一封来自诺森比亚警方网络调查员的电子邮件,内容涉及“滥用计算机设备”的指控。在接受BleepingComputer的电话采访时,Dyke表示他之前也曾在Apperta工作过,作为目前从事IT工作的人,他非常熟悉Apperta向负责的供应商报告安全漏洞的既定机制和行业惯例。发现数据泄露后,Dyke立即向Apperta报告了事件的详细信息。然而,为了记录他报告的内容,研究人员对他遇到的数据进行了加密并安全地存储了90天,这也是协调披露过程的一部分。戴克在接受采访时说:“我知道如何向他们报告。所以我通过他们的既定程序向他们报告。当时我也收到了他们的回复。他们感谢我并承诺会立即解决问题。我没有再考虑这些问题……”然而,一个多星期后,戴克收到了阿佩塔律师的来信,声称戴克的行为是“违法行为”,然后要求他写信承诺删除任何数据Dyke看到了。这让Dyke感到惊讶,特别是考虑到他曾为Apperta工作过,而且Apperta团队中的许多人都认识他。在BleepingComputer看到的一封电子邮件中,Dyke进一步向Apperta的律师澄清,他看到的信息已经公开在GitHub上泄露了两年多,并且不是作为非法黑客活动的一部分获得的专有数据。作为负责任披露的一部分,Dyke收集的详细信息是从Apperta在互联网上发布的可公开访问的公共URL中获得的。Dyke还特地发表书面声明,表示将销毁任何从公共网络服务(GitHub)获得的存储库副本,并提供销毁证明。工程师电话lingBleepingComputer他认为警方的调查与Apperta事件有关,因为Northumbria警方负责监督Apperta办公室所在的司法管辖区。戴克说:“我认为对于一个提倡披露的组织来说,这不是一个可行的选择。方法,所有这些都是相关的:透明度、问责制和责任。现在我发现了错误并帮助他们修复了它,这不是方法去的。我向[他们]保证数据会被删除,它已经被删除。“英国计算机滥用法案吓跑了80%的信息安全专业人士。他们都在敦促英国政府改革过时的《计算机滥用法案》。根据Cyber??Up研究,80%的安全专业人员害怕在日常工作中滥用计算机。英国1990年颁布的《计算机滥用法案》法规非常广泛,甚至可以简单地将遇到数据泄露视为“犯罪行为”。根据该法案,即使是英国威胁情报提供商探测外国系统的工作也可能被视为非法。BleepingComputer已多次联系Apperta基金会,我们将联系诺森比亚警方征求意见,但我们尚未收到回复。
