我们正在谈论成千上万行脚本和配置,包括数据库模式和大量内部信息。看起来像是一些项目的存档,都被链接到一个文件中。
还没有时间浏览所有内容。快速搜索公开的数据库和凭据可能会提示缺少的其他文件/功能。
这似乎是5年前在这里工作的承包商的个人网站。
1小时后编辑:从该家伙在过去20年中工作过的每家公司(主要是F500)中找到敏感信息:巨大的国家银行,邮政,大型电子制造商,通用电气... />
代码,配置,说明以及似乎是控制台输入日志的内容的混合。不知道为什么一个人会自己记录自己的个人记录,更不用说在互联网上发布了,这真的很奇怪。
这是一个宝库。有时会使用用户名和密码来引用各种内部结构。通过FTP访问生产服务器。通过SSH访问上帝知道什么,即使使用曾经受2FA保护的一次性RSA令牌号也是如此。
该怎么办?与谁联系?网络?法律?联邦调查局? SEC?其他?这些组合吗?
我在英国。承包商在美国。
#1 楼
首先获取您发现的屏幕截图。对于属于您的数据,应进行分类。就个人而言,我会下载它,以便您参考。您应该截取自己数据的屏幕截图,并避免使用非您自己的数据。确保包括URL。以律师可以理解的方式记录下来。这很可能会成为法律问题,而不是IT问题。我说“屏幕截图”是因为这是明确的,律师可以理解屏幕截图。请与您的内部律师以及您的通讯或媒体人员联系。您需要将此违规行为通知他们的雷达。然后,如果您在一家大型的老公司工作,律师可能需要通过客户管理团队与承包商进行商业合同调查。高级领导层中没有人愿意从每个人最喜欢的IDS:Twitter中找到相关信息。您的通讯/公关团队将需要处理由此产生的任何消息。您的执行团队可能需要参与。除非您是首席信息官,否则您应该从首席信息官那里获得指导,在这种情况下,我倾向于内部告知人们。
与您的公司数据保护官联系。可能是律师。他们将决定违规行为是否应通知GDPR / ICO。您必须有72个小时的时间从知道的角度迅速做出决定;其中包括周末(切勿在星期五寻找事件…)。您的DPO将提供建议。如果您是DPO,则可能需要聘请公司外部法律顾问来确认您的决定。
查看数据后,您将可以建议受影响的数据主体有多少,如果有的话。您还可以确定数据泄露是否影响您的任何客户,因为您可能有合同义务告知他们。
联系托管公司。如果是像GitHub这样的东西,那么他们可能会倾向于很好地玩。您可能需要让您的律师作为公司官员写信给他们。
最好与承包商联系,最好通过他们签约的公司和内部律师与承包商联系。要求他们清除那里的东西。
现在您可以开始计算对业务的重大影响了。我期望凭据,密钥和其他身份验证令牌将需要更改。
取决于公司的规模,对风险的偏好以及口袋的大小,您可能需要考虑进行取证型公司出去寻找类似的数据。是的,我知道这是个安全剧院,但是如果您在FTSE100公司工作,那么一份带有Big4审计标志的报告说,“不再有其他问题”正是您所需要的,这会让您陷入困境。 (我对大公司花在这样的报告上的东西感到惊讶,当然,内部人员的同一件事通常被认为是微不足道的。)
我不确定数据那不是你的。如果您开始尝试与第三方互动,那么您必然会被问到您从第三方那里获得了什么数据,他们必然会要求您确认您已获取的所有数据已被删除。我个人倾向于忽略所有不是我的数据。您可能想向您认为是数据所有者的任何人进行披露,完全取决于您。
您提到键盘记录;如果您想知道为什么个人在自己的PC上可能有按键记录器,那么很慷慨的是,他们可能会将其用作键入内容的简单备份。我知道这样做的人。
旁边:最后,作为切线观察,您发现的并不少见。人们储存各种垃圾;例如,人们通过FTP将其家庭数据存储链接到Internet:我们会对包含我们公司字符串的此类数据进行定期评估。
评论
这非常有帮助,但是我会改变一件事。当涉及到他人的数据时,绝对不要在任何情况下都下载屏幕截图,甚至(在可以避免的范围内)也不进行查看。您似乎不确定这一点,但是几乎所有司法管辖区的法律都很明确。未经他人许可而下载或记录他人数据的任何尝试,即使已经泄露,也可能因您或您公司的法律麻烦而最终以您或您的公司结束。
– Conor Mancone
19年8月9日在13:42
@ConorMancone如果可以通过文件名之类的名称进行识别,是否值得与该公司联系?我猜OP会看到某种形式的列表。如果OP看到一个名为stackexchange.com的文件夹,我认为向stackexchange发送指向清单的链接会很好。就像“嘿,想您想知道的,还没有检查出来,但是您应该。”
–锡罐
19年8月9日在20:54
@TinCan我认为这是完全合理的。您显然无法避免看到事情,因此知道所涉及公司的名称是可以解释和合理的。但是,如果他们向您询问有关所发现内容的详细信息,您需要能够诚实,明确地说:“我无论如何都没有下载或保存贵公司的任何信息。我看到的足以识别您的身份受害人,一看到这是机密信息,便停止寻找。”
– Conor Mancone
19年8月9日在21:01
不要自己联系任何人。如果律师愿意,让公司律师联系任何第三方。在这一点上,您绝对需要公司法律团队的支持。让他们领导。
– MaxW
19年8月10日在6:19
好答案。我想说:“内部人员的同一件事通常被认为是微不足道的。”如果内部人员不对报告的准确性承担专业责任,我会放心。而外部代理人将有律师和保险等。
– jpaugh
19年8月11日在6:14
#2 楼
您通常希望与托管公司联系以将其删除并保留合法保留的所有数据和日志。您还可以联系其他受影响的公司。
法律上,您需要联系您所在辖区的律师和执法部门。
#3 楼
不用说,但是请确保这些登录凭据在您的系统上不起作用。如果在他离开您的组织时(应有的时候)没有将它们停用,那么您将要审核您的访问日志,以确保自他离开以来没有使用过它们-如果它们位于公共网站上,任何人都可以找到它们,您应该假设有人尝试过它们。请仔细记录所发现的所有内容,包括诸如查找时间和方式的详细信息。执法人员想知道。您很可能必须在这一天左右在法庭上作证-即使您的公司不提起诉讼,其他公司也可能会提起诉讼,并且如果您准备了所有详细信息,当他们要求您作证时,您会显得更加专业。
#4 楼
如果您是公司的正式成员,则应该通过Infosec团队进行正确的升级,如果您的公司规模不足以拥有专门的Infosec团队,则应退回法律和IT部门。我还会在任何通信中复制HR。这是一个非常严重的情况。如果您不知道要做什么(事实是您非常明智地在Stack Exchange上寻求建议表明您不这样做),那么您需要将其传递给公司内部的团队。
不要尝试自己在公司外做任何事情。
为您的Infosec / IT / Legal团队提供该站点上托管信息的URL。
如果您下载了与其他公司有关的信息,请将其删除。这是您不应该拥有的机密信息。相反,让您的Infosec / IT / Legal团队以正式身份联系其他公司。
#5 楼
为了将其删除,您可以让美国律师向托管服务提供商发布DMCA删除通知,声称您拥有内容并且未同意分发该内容-如果托管服务提供商遵守DMCA通知,则应该立即做出反应,承包商可以响应。评论
我认为,专业提供商会在您提醒他们并提出一些您显然不应该在线的信息详细信息后,立即“删除”此类文件(即在快速浏览以证实您的发现之后)。 。
–彼得-恢复莫妮卡
19年8月10日在11:13
@ PeterA.Schneider大多数体面的提供者都应在安全港保护下采取行动,这意味着他们不能做出此类决定-最好发送适当的法律要求(例如DMCA),以使他们无需做出决定就可以删除内容。通过查看内容来确认您的请求并做出决定的提供商将承担巨大的责任。
– Moo
19年8月10日在11:43
是的,当然应该同时寻求法律途径。但是,如果发生严重而明显的数据泄漏(“大银行”,“密码”等),我相信提供商有责任在收到警告时立即采取行动,以避免对第三方造成进一步损害。当然,这是相互矛盾的职责,提供良好的证据很重要。
–彼得-恢复莫妮卡
19年8月10日在12:16
请注意,在美国境外,数字千年版权法案(DMCA)请求不是免费的,并且可能涉及大量费用。
–mckenzm
19年8月11日在5:25
@ PeterA.Schneider FWIW,您永远不应追求法律以外的途径。 ;-)我希望数字千年版权法案(DMCA)信件的优先级高于“纯粹的”支持请求-例如它不需要在响应之前进行分类---这样实际上可能是通知合适的技术人员的最快方法。
– jpaugh
19年8月11日在6:24
#6 楼
我也遇到过类似的情况。我立即联系了我的老板和老板(我们只有25个人)。店主处理了所有事情,但他要我打个电话。由于这涉及美国国防部的承包商,因此这是国防部的责任。我们从来没有被告知结果。让所有者/首席运营官/公司法律顾问联系执法部门。
美国执法部门喜欢诱捕他人作伪证。与执法部门交谈时,始终有律师的建议和律师在场。
让律师处理任何屏幕截图。
让执法部门通知其他实体,他们的敏感信息包含泄漏。
评论
我不熟悉“ LE”一词。你可以解释吗?
– Chue x
19年8月12日在14:04
@chuex:可能是执法部门?
–克里斯蒂安·塞弗林(Christian Severin)
19年8月12日在14:29
#7 楼
这是对顶部其他答案(当前)的补充。我知道已经3天了,我们不会从OP中得到答案,但是我强烈建议任何可能发生这种情况的人考虑以下内容。了解数据泄漏通常是如何发生的:首先要锁定第三方承包商。我将告诉您,即使是最低级但严重的威胁参与者,也有能力收集有关您的公司,承包商及其内部的大量数据,因此您将知道谁是承包商。您可能不会相信,但是您的公司用来管理员工的HR软件比被10只狼所围困的无防御猫更容易受到攻击。
通常这些承包商对安全性并不认真,而且比可能加强防御的公司本身更容易渗透。这样想想-为什么当您可以对主要公司的承包商或对安全一无所知的低层员工进行追踪时,为什么要经过主要公司的辩护呢?
通过代理,我知道一个案例一个由大学,国防部和其他机构组成的国家整个研究部门,有几台服务器可以上传“研究结果和示意图”。一位教授的旧聊天服务器非常滥用。他们在经过那家伙的聊天服务器后进入了相当强大的研究网络,然后才去那里打了近十几台计算机。
您可能会遇到一个承包商被黑客入侵的情况。像这样将自己送入监狱并毁掉生命的人非常非常罕见,而且常常患有精神疾病。从统计学上讲,他没有办法自己做这件事,相反,这意味着其他人泄漏了信息以伤害主要公司。他只是个棋子。
您还暗示了“他为什么要自己记录自己的名字?”的可能性很大。没有人这样做。您还说过,您看到一次性使用的日志和令牌转储。当您想到承包商时,您认为谁会在寻找这些东西?黑客通过该承包商和公司将公司作为公司目标?
这里的东西闻起来很香。
最重要的回答是,去找律师,但不要出于恶意。
#8 楼
首先,建议您更改所有已知信息的凭据。有些黑客喜欢这种数据并将其用于网络攻击,勒索软件等自身用途。同时发起投诉来关闭该站点并停止传播数据互联网。
这些很重要。首先保护您的业务。稍后,您可以对该人提起法律诉讼。
评论
“相同时间”很少对人类有用。更改数千个泄露的密码可能需要一段时间,这就是为什么我会首先启动删除操作,然后开始更改密码的原因。
–托马斯·韦勒(Thomas Weller)
19年8月12日在19:14
评论
您绝对应该尽快与律师联系。据我所知,英国受GDPR的影响,因此您可能还必须报告违规情况。恕我直言,这应该是一个红色的代码。“控制台输入日志”-请注意,大多数UNIX系统默认情况下都执行此操作,例如主文件夹中的“ .bash_history”。
我以为这是一个疏忽:很可能在云中破坏了个人备份的访问权限。您是否考虑过仅联系承包商?他们甚至可能拥有相同的电话号码!这可能是删除它的最快,最简单的方法。 (他们无法承受法律后果。损失可能很大。)
@ PeterA.Schneider实际上,只有在联系法律部门之后才可以这样做。
@WGroleau可能是正确的,但是受违规影响的公司很可能会受到GDPR的影响。毕竟,他们有义务将违规情况通知有关当局。