報告數據泄露反被起訴,法案灰色地帶再引爭議
“農夫與蛇”的故事
近期,一個開放系統非營利組織的安全工程師(也曾是該項目的開發人員之一)近期向高組織報告了一次數據泄露事件。
按理來說,作為回報,他首先應該得到該組織的感謝,感謝他負責任地披露,但后來得到的卻是警察和律師的來電,估計他心都涼了一大半。
Apperta基金會是一家總部位于英國的非營利機構,由英國國家醫療服務體系(NHS England)和英國國家醫療服務體系(NHS Digital)提供支持,旨在促進數字健康和社會醫療領域的開放系統和標準。
GitHub存儲庫泄露了密碼、密鑰和數據庫
就在這個星期,一位名叫Rob Dyke的英國云安全工程師公開講述了一次負責任的數據時間披露是如何讓他陷入法律困境的。
本月早些時候,Dyke發現了一個公開的GitHub存儲庫,它泄露了屬于Apperta基金會的密碼、API密鑰和敏感財務記錄。
在發現這個GitHub存儲庫時,Dyke表示,這個存儲庫至少從2019年就暴露在外網了,工程師私下向Apperta報告了這一點,并得到了他們的感謝。
然而,在3月9日,他收到了上訴律師的法律信函,導致他不得不聘請自己的律師來代表他處理這件事情。
除此之外,他還收到了一封來自諾森布里亞警方一名網絡調查員的電子郵件,其中的內容涉及到關于“濫用計算機設備”的控訴。
在接受BleepingComputer的電話采訪時,Dyke表示,他此前也曾與Apperta合作過,作為目前在IT部門工作的人,他非常熟悉Apperta的既定機制以及向供應商負責報告安全漏洞的行業做法。
當他發現數據泄露時,Dyke立即向Apperta報告了相關事件詳情。
然而,為了記錄他所報告的內容,研究人員對他遇到的數據進行了加密,并將其安全地存儲了90天,這也是作為協調披露過程的一部分。
Dyke在接受采訪時說到:“我知道該怎么向他們報告。因此,我通過他們既定的程序向他們報告了此事,我當時也收到了他們的回復,他們向我表示了感謝,并承諾會立刻解決相關問題。之后我就再也沒去想這些問題了...”
但是,一個多星期之后,Dyke收到了Apperta的律師發來的一封信,并聲稱Dyke的行為是“非法行為”,然后要求其書面承諾刪除Dyke查看過的任何數據。
這件事情讓Dyke非常的驚訝,尤其是考慮到他曾為Apperta工作過,而且Apperta團隊里面有很多人還認識他。
在BleepingComputer看到的電子郵件中,Dyke進一步向Apperta的律師澄清,他所看到的信息已經在GitHub上公開泄露了兩年多,并不是作為非法黑客活動的一部分而獲得的專有數據。
作為責任披露的一部分,Dyke收集的細節是從Apperta在互聯網上發布的可公開訪問的公共URL獲取的。
Dyke還專門發表了書面聲明,并表示自己會銷毀從公共網絡服務(GitHub)獲得的任何存儲庫副本,并提供銷毀證明。
這名工程師告訴BleepingComputer,他相信警方的調查與Apperta事件有關,因為諾森布里亞警方負責監督Apperta辦公室所在的司法管轄區。
Dyke表示:“我認為,對于一個提倡公開的組織來說,這不是一個可行的方法,所有這些都是與之相關的:透明度、問責制和責任感。既然我發現了這個漏洞,并幫助他們解決了,這根本不是解決問題的方法。我向[他們]保證數據會被刪除,而且已經刪除了。”
英國計算機濫用法案嚇跑了80%的信息安全專業人士
這并不是信息安全工程師第一次被指控進入英國《計算機濫用法案》(CMA)的法律灰色地帶。而英國的各大企業、組織和學術界都在敦促英國政府對已過時的《計算機濫用法案》進行改革。
根據CyberUp的調查研究,80%的安全專業人員在日常工作中都害怕觸犯計算機濫用行為。
1990年發布的英國《計算機濫用法案》的規定非常廣泛,甚至可以簡單地將遇到數據泄露便可視為“犯罪行為”。根據該法案,甚至英國威脅情報提供者探測外國系統的工作活動也可能被視為非法行為。
BleepingComputer曾多次聯系Apperta基金會和諾森布里亞警方征求意見,但我們沒有得到回復。
