白帽工程师Rob Dyke向非营利组织Apperta报告了一起数据泄露事件,该组织对他负责人的披露表示感谢,同时也让他陷入了法律纠纷。
Apperta基金会是一家总部位于英国的非盈利组织,由英国国家医疗服务系统(NHS)和NHS公司(NHS Digital)发起成立,致力于在数字医疗和社会护理领域推广相关标准。
事起 GitHub
英国安全工程师Rob Dyke公开了一个负责地数据泄露披露使他陷入法律纠纷的案例。
本月初,Rob Dyke在GitHub上发现了一个存储着Apperta基金会的密码、API 密钥和财务信息的仓库。而Rob Dyke向Apperta基金会报告了该事件,并得到了Apperta基金会的致谢。
然而在3月9日,Rob Dyke收到了律师的信函,通知他要聘请自己的律师来打官司。警方的调查人员也向他发送了相关的电子邮件,通知他涉嫌“计算机滥用”相关罪名。
Rob Dyke公开表示,他曾经与Apperta基金会合作过,作为一个在IT部门工作的人,他非常熟悉如何负责人地向厂商报告安全漏洞与行业惯例。所以他发现数据泄露时,就立刻向Apperta基金会报告了。
为了进行报告,Rob Dyke将发现的数据进行了加密,留作协助调查的证据,要安全地保存九十天。Rob Dyke表示他按照Apperta基金会的既定程序报告了相关事件,Apperta基金会也回复表示感谢并且声明要进行核查。
“我完全没有想过会发生这样的事情”——Rob Dyke如是说。
一周后,Apperta的律师表示,Apperta认为Rob Dyke的行为是非法的,并且要求他承诺删除相关所有数据。Rob Dyke对此表示十分震惊,尤其是Apperta此前还与他打过交道。
根据电子邮件信息,Rob Dyke表示他发现的数据在GitHub上已经公开了两年多,并不是他自己通过非法攻击行动获得的。Rob Dyke提供了书面声明,表示他将会销毁从GitHub上获得的数据副本,并提供销毁的证据。
警察局也称他涉嫌卷入“计算机滥用”相关的罪名中,该警察局负责督办Apperta基金会所在的司法辖区。Rob Dyke认为这样并不能解决问题,提高透明度、落实问责制、强调责任感都是解决之道,可单纯的指控并不能解决问题。
法律问题
英国在1990年颁布了《计算机滥用法案》,其条款之广泛可能将报告数据泄露事件都视为违法行为。
根据CyberUp的调查显示,80%的安全专家在日常工作中都害怕触犯《计算机滥用法案》。已经披露过很多次,安全工程师涉嫌触犯《计算机滥用法案》(CMA)的指控了。
时代在不断发展,业界和学界都督促政府对过时的法律进行改革。根据该法案,甚至英国威胁情报提供公司探测外国系统的活动可能也会被指控为非法。
Apperta基金会与警方都拒绝对此事发表评论。
参考来源:BleepingComputer