白帽工程師Rob Dyke向非營利組織Apperta報告了一起數據泄露事件，該組織對他負責人的披露表示感謝，同時也讓他陷入了法律糾紛。

Apperta基金會是一家總部位于英國的非盈利組織，由英國國家醫療服務系統(NHS)和NHS公司(NHS Digital)發起成立，致力于在數字醫療和社會護理領域推廣相關標準。

事起 GitHub

英國安全工程師Rob Dyke公開了一個負責地數據泄露披露使他陷入法律糾紛的案例。

本月初，Rob Dyke在GitHub上發現了一個存儲著Apperta基金會的密碼、API 密鑰和財務信息的倉庫。而Rob Dyke向Apperta基金會報告了該事件，并得到了Apperta基金會的致謝。

然而在3月9日，Rob Dyke收到了律師的信函，通知他要聘請自己的律師來打官司。警方的調查人員也向他發送了相關的電子郵件，通知他涉嫌“計算機濫用”相關罪名。

Rob Dyke公開表示，他曾經與Apperta基金會合作過，作為一個在IT部門工作的人，他非常熟悉如何負責人地向廠商報告安全漏洞與行業慣例。所以他發現數據泄露時，就立刻向Apperta基金會報告了。

為了進行報告，Rob Dyke將發現的數據進行了加密，留作協助調查的證據，要安全地保存九十天。Rob Dyke表示他按照Apperta基金會的既定程序報告了相關事件，Apperta基金會也回復表示感謝并且聲明要進行核查。

“我完全沒有想過會發生這樣的事情”——Rob Dyke如是說。

一周后，Apperta的律師表示，Apperta認為Rob Dyke的行為是非法的，并且要求他承諾刪除相關所有數據。Rob Dyke對此表示十分震驚，尤其是Apperta此前還與他打過交道。

根據電子郵件信息，Rob Dyke表示他發現的數據在GitHub上已經公開了兩年多，并不是他自己通過非法攻擊行動獲得的。Rob Dyke提供了書面聲明，表示他將會銷毀從GitHub上獲得的數據副本，并提供銷毀的證據。

警察局也稱他涉嫌卷入“計算機濫用”相關的罪名中，該警察局負責督辦Apperta基金會所在的司法轄區。Rob Dyke認為這樣并不能解決問題，提高透明度、落實問責制、強調責任感都是解決之道，可單純的指控并不能解決問題。

法律問題

英國在1990年頒布了《計算機濫用法案》，其條款之廣泛可能將報告數據泄露事件都視為違法行為。

根據CyberUp的調查顯示，80%的安全專家在日常工作中都害怕觸犯《計算機濫用法案》。已經披露過很多次，安全工程師涉嫌觸犯《計算機濫用法案》(CMA)的指控了。

時代在不斷發展，業界和學界都督促政府對過時的法律進行改革。根據該法案，甚至英國威脅情報提供公司探測外國系統的活動可能也會被指控為非法。

Apperta基金會與警方都拒絕對此事發表評論。

參考來源：BleepingComputer