Frage:
Ex-Auftragnehmer veröffentlichte Online-Quellcode und Geheimnisse des Unternehmens
user5994461
2019-08-09 15:57:32 UTC
view on stackexchange narkive permalink

Ich habe gerade meinen aktuellen Buchungskreis im Internet gefunden.

Wir sprechen von Hunderttausenden von Zeilen mit Skripten und Konfigurationen, einschließlich Datenbankschemata und einer ganzen Menge interner Informationen. Sieht aus wie ein Archiv einiger Projekte, die alle in einer Datei zusammengefasst sind.

Ich hatte noch keine Zeit, alles durchzugehen. Die schnelle Suche nach exponierten Datenbanken und Anmeldeinformationen deutet auf andere fehlende Dateien / Funktionen hin.

Dies scheint die persönliche Website eines Auftragnehmers zu sein, der vor 5 Jahren hier gearbeitet hat.

1 Stunde später bearbeiten: Es wurden vertrauliche Informationen von jedem Unternehmen gefunden, für das der Typ in den letzten 2 Jahrzehnten gearbeitet hat, hauptsächlich F500: riesige Nationalbank, Postdienst, großer Elektronikhersteller, allgemeiner Elektro ...

Mischung aus Code, Konfiguration, Notizen und scheinbar Konsoleneingabeprotokollen. Keine Ahnung, warum ein Typ selbst Keylog machen würde, geschweige denn es im Internet veröffentlichen würde, das ist wirklich seltsam.

Es ist eine Fundgrube. Es gibt Verweise auf alle Arten von Interna mit manchmal Benutzernamen und Passwort. FTP-Zugriff auf Produktionsserver. SSH-Zugriff auf Gott weiß was, selbst mit der einmaligen RSA-Token-Nummer, die verwendet wurde, wenn sie 2FA-geschützt war.

Was kann dagegen getan werden und an wen kann man sich wenden? Cyber? Legal? FBI? SEC? Andere? Irgendeine Kombination davon?

Ich bin in Großbritannien. Der Auftragnehmer befindet sich in den USA.

Sie sollten sich unbedingt mit einem Anwalt in Verbindung setzen ** SO SCHNELL WIE MÖGLICH **.Soweit mir bekannt ist, ist Großbritannien von der DSGVO betroffen, sodass Sie möglicherweise auch einen Verstoß melden müssen.IMHO, dies sollte ein roter Code für Sie sein.
"Konsoleneingabeprotokolle" - Beachten Sie, dass die meisten Unix-Systeme dies standardmäßig tun, z. B. ".bash_history" in Ihrem Home-Ordner.
Ich würde annehmen, dass dies ein Versehen ist: Höchstwahrscheinlich verpfuschte Zugriffsberechtigungen für ein persönliches Backup in der Cloud.Haben Sie darüber nachgedacht, einfach den Auftragnehmer zu kontaktieren?Sie können sogar noch die gleiche Telefonnummer haben!Das ist vielleicht der schnellste und einfachste Weg, es zu beseitigen.(Rechtliche Folgen für sie nicht standhalten. Schaden kann riesig sein.)
Der Auftragnehmer ist von der DSGVO nicht betroffen, wenn er bereit ist, nie wieder nach Europa zu reisen.Ein europäisches Unternehmen kann jedoch in den USA (aus anderen Gründen) eine Zivil- oder Strafanzeige einreichen.
@PeterA.Schneider Das ist wirklich etwas, das nur * nach * Kontaktaufnahme mit legal gemacht werden sollte.
@WGroleau Das mag wahr sein, aber das von dem Verstoß betroffene Unternehmen kann sehr wohl von der DSGVO betroffen sein.Schließlich sind sie verpflichtet, die zuständigen Behörden über den Verstoß zu informieren.
Das Unternehmen ist zumindest bis zum Brexit betroffen.Entschuldigung für einen unvollständigen Kommentar.
Acht antworten:
Unicorn Tears
2019-08-09 18:04:37 UTC
view on stackexchange narkive permalink

Machen Sie zuerst Screenshots von dem, was Sie finden. Für die Daten, die Ihnen gehören, sollten Sie diese katalogisieren. Persönlich würde ich es herunterladen, damit Sie eine Referenz haben. Sie sollten Screenshots Ihrer eigenen Daten machen und Daten vermeiden, die nicht Ihnen gehören. Stellen Sie sicher, dass Sie die URLs angeben. Dokumentieren Sie diese so, dass ein Anwalt sie verstehen kann. Dies wird wahrscheinlich zu einem rechtlichen Problem, nicht zu einem IT-Problem. Ich sage "Screenshots", weil das eindeutig ist und Anwälte Screenshots verstehen.

Wenden Sie sich an Ihre internen Anwälte sowie an Ihre Kommunikations- oder Medienmitarbeiter. Sie müssen diese Verletzung auf ihr Radar bringen. Die Anwälte müssen dann den Handelsvertrag mit dem Auftragnehmer prüfen, wahrscheinlich über das Account-Management-Team, wenn Sie für ein großes altes Unternehmen arbeiten. Niemand in Führungspositionen wird es von jedermanns Lieblings-IDS erfahren wollen: Twitter. Ihre Kommunikations- / PR-Teams müssen sich mit allen daraus resultierenden Nachrichten befassen. Möglicherweise muss Ihr Führungsteam einbezogen werden. Sie sollten sich von Ihrem CIO beraten lassen, es sei denn, Sie sind der CIO. In diesem Fall wäre ich geneigt, die Mitarbeiter intern zu informieren.

Wenden Sie sich an Ihren Datenschutzbeauftragten. Das kann der Anwalt sein. Sie werden entscheiden, ob der Verstoß GDPR / ICO meldepflichtig ist. Sie müssen dies schnell tun, da Sie 72 Stunden Zeit haben, um die Entscheidung an dem Punkt zu treffen, den Sie kennen. Dazu gehört auch das Wochenende (suchen Sie niemals an einem Freitag nach Zwischenfällen…). Ihr Datenschutzbeauftragter wird Sie beraten. Wenn Sie der Datenschutzbeauftragte sind, können Sie Ihren externen Rechtsberater hinzuziehen, um Ihre Entscheidungen zu bestätigen.

Nachdem Sie sich die Daten angesehen haben, können Sie mitteilen, wie viele betroffene Personen betroffen sind, wenn irgendein. Sie können auch feststellen, ob die Datenverletzung einen Ihrer Kunden betrifft, da Sie möglicherweise vertraglich verpflichtet sind, diese zu informieren.

Wenden Sie sich an das Hosting-Unternehmen. Wenn es so etwas wie GitHub ist, neigen sie möglicherweise dazu, gut zu spielen. Möglicherweise müssen Sie Ihre Anwälte dazu bringen, ihnen als leitende Angestellte des Unternehmens zu schreiben.

Wenden Sie sich an den Auftragnehmer, idealerweise über das Vertragsunternehmen und über den internen Anwalt. Fordern Sie, dass sie das entfernen, was vorhanden ist.

Jetzt können Sie beginnen, die wesentlichen Auswirkungen auf Ihr Unternehmen zu ermitteln. Ich gehe davon aus, dass Anmeldeinformationen, Schlüssel und andere Authentifizierungstoken geändert werden müssen.

Abhängig von der Größe Ihres Unternehmens, Ihrer Risikobereitschaft und Ihrem Taschenformat sollten Sie eine Forensik in Betracht ziehen. Geben Sie Unternehmen ein, um nach ähnlichen Daten zu suchen. Ja, ich weiß, es ist ein bisschen Sicherheitstheater, aber wenn Sie für eine FTSE100-Firma arbeiten, ist ein Bericht mit einem Big4-Audit-Abzeichen mit der Aufschrift "Keine Probleme mehr" genau das, was Sie brauchen, wenn der Midden die Windmühle trifft. (Ich bin erstaunt darüber, was große Unternehmen für solche Berichte ausgeben, da natürlich das Gleiche von einer internen Person oft als wenig wichtig angesehen wird.)

Ich bin mir nicht sicher, welche Daten dies sind gehört dir nicht. Wenn Sie versuchen, mit Dritten in Kontakt zu treten, werden Sie zwangsläufig gefragt, welche Daten Sie von diesen erhalten haben, und diese müssen Sie auffordern, zu bestätigen, dass alle von Ihnen aufgenommenen Daten gelöscht wurden. Persönlich würde ich dazu neigen, alle Daten zu ignorieren, die nicht meine sind. Möglicherweise möchten Sie eine Offenlegung gegenüber demjenigen vornehmen, von dem Sie glauben, dass er der Dateneigentümer ist. Dies liegt ganz bei Ihnen.

Sie erwähnen Keylog. Wenn Sie sich fragen, warum eine Person möglicherweise einen Tastendruck-Logger auf ihrem eigenen PC hat, können Sie ihn, um großzügig zu sein, als einfache Sicherung ihrer Eingabe verwenden. Ich kenne Leute, die das getan haben.

Nebenbei: Schließlich ist das, was Sie als tangentiale Beobachtung gefunden haben, nicht ungewöhnlich. Die Leute lagern alle Arten von Müll; Zum Beispiel verbinden Menschen ihren privaten Datenspeicher über FTP mit dem Internet: Wir führen regelmäßige Bewertungen für solche Daten durch, die unsere Unternehmenszeichenfolgen enthalten.

Das ist ziemlich hilfreich, aber ich würde eines ändern.Wenn es um die Daten anderer Personen geht, ** unbedingt **, ** unter keinen Umständen **, Screenshot herunterladen oder sogar (soweit Sie dies vermeiden können) anzeigen.Sie scheinen in diesem Punkt etwas unsicher zu sein, aber das Gesetz ist in fast allen Gerichtsbarkeiten sehr klar.Jeder Versuch, die Daten anderer Personen ohne deren Erlaubnis herunterzuladen oder aufzuzeichnen, selbst wenn diese bereits durchgesickert sind, kann dazu führen, dass Sie oder Ihr Unternehmen in Ihrem eigenen rechtlichen Konflikt mit diesem Unternehmen stehen.
@Conor Mancone fair point Ich habe meine Antwort aktualisiert, da ich nicht sicher war, welche Daten ich scannen soll.
@ConorMancone Wäre es sinnvoll, das Unternehmen zu kontaktieren, wenn sie durch einen Dateinamen identifiziert werden können?Ich vermute, das OP sieht eine Art Auflistung.Wenn das OP einen Ordner namens stackexchange.com sieht, wäre es meiner Meinung nach in Ordnung, stackexchange einen Link zur Auflistung zu senden.Wie "Hey, dachte, du würdest es gerne wissen, habe es nicht überprüft, aber du solltest es tun."
@TinCan Ich denke, das ist völlig vernünftig.Sie können es offensichtlich nicht vermeiden, Dinge zu sehen, und daher ist es erklärbar und vernünftig, den Namen der beteiligten Unternehmen zu kennen.Wenn sie Sie jedoch nach den Details fragen, die Sie gefunden haben, müssen Sie ehrlich und eindeutig sagen können: "Ich habe ohnehin keine Informationen aus Ihrem Unternehmen heruntergeladen oder gespeichert. Ich habe gerade genug gesehen, um Sie als zu identifizieren."Opfer und hörte auf, weiter zu suchen, sobald ich sah, dass es sich um vertrauliche Informationen handelte. "
Kontaktieren Sie niemanden alleine.Lassen Sie den Anwalt des Unternehmens auf Wunsch einen Kontakt mit Dritten aufnehmen.An dieser Stelle möchten Sie unbedingt die Unterstützung Ihres Rechtsteams Ihres Unternehmens.Lass sie führen.
@ConorMancone Laut OP "sieht es aus wie ein Archiv einiger Projekte, die alle in einer einzigen Datei zusammengefasst sind." Sie können es nicht vermeiden, die Inhalte anderer Leute herunterzuladen, wenn Sie Ihre eigenen dokumentieren möchten.
@PeterA.Schneider Wenn man die Frage noch einmal liest, ist es schwer zu sagen, ob absolut alles in einer Datei ist oder nur alles für die OP-Firma.Ich bin jedoch damit einverstanden, dass es schwierig sein kann, die Inhalte eines anderen herunterzuladen, wenn buchstäblich alles in einer Datei enthalten ist.Im Allgemeinen gibt es jedoch ein klares Prinzip: Vermeiden Sie unbedingt das Herunterladen von Inhalten anderer Personen, es sei denn, dies ist völlig unvermeidlich.
Gute Antwort."Dasselbe von einer internen Person wird oft als wenig wichtig angesehen" Ich würde sagen, dass die interne Person erleichtert wäre, keine professionelle Verantwortung für die Richtigkeit ihres Berichts zu übernehmen.Ein externer Vertreter verfügt über Anwälte, Versicherungen usw.
schroeder
2019-08-09 16:20:09 UTC
view on stackexchange narkive permalink

In der Regel möchten Sie sich an das Hosting-Unternehmen wenden, um alle Daten und Protokolle herunterzufahren und unter einem legalen Vorbehalt zu halten.

Sie können sich auch an die anderen betroffenen Unternehmen wenden.

Rechtlich müssen Sie sich an einen Anwalt und die Strafverfolgungsbehörden in Ihrer Rechtsprechung wenden.

user3583489
2019-08-09 17:28:09 UTC
view on stackexchange narkive permalink

Es sollte selbstverständlich sein, aber stellen Sie sicher, dass diese Anmeldeinformationen auf Ihrem System nicht funktionieren. Wenn sie nicht deaktiviert wurden, als er Ihre Organisation verließ (wenn sie hätten sein sollen), sollten Sie Ihre Zugriffsprotokolle überprüfen, um sicherzustellen, dass sie seit seiner Abreise nicht mehr verwendet wurden - wenn sie sich auf einer öffentlichen Website befanden, auf der Jeder könnte sie finden, Sie sollten davon ausgehen, dass jemand sie ausprobiert hat.

Führen Sie ein sorgfältiges Protokoll über alles, was Sie finden, einschließlich Details wie wann und wie Sie es finden. Die Strafverfolgung wird es wissen wollen. Möglicherweise müssen Sie eines Tages vor Gericht aussagen - auch wenn Ihr Unternehmen nicht klagt, könnten die anderen Unternehmen dies tun, und Sie werden professioneller aussehen, wenn Sie alle Details bereit haben, wenn sie Sie als Zeugen anrufen.

Roger Lucas
2019-08-11 15:29:44 UTC
view on stackexchange narkive permalink

Wenn Sie ein regulärer Mitarbeiter des Unternehmens sind, sollte Ihre korrekte Eskalation über das Infosec-Team erfolgen und auf die Rechts- und IT-Abteilungen zurückgreifen, wenn Ihr Unternehmen nicht groß genug ist, um ein dediziertes Infosec-Team zu haben. Ich würde auch HR für jede Kommunikation kopieren.

Dies ist ein äußerst ernstes Szenario. Wenn Sie nicht wissen, was Sie tun sollen (und die Tatsache, dass Sie sehr vernünftig um Rat zu Stack Exchange bitten, zeigt, dass Sie dies nicht tun), müssen Sie dies an die Teams in Ihrem Unternehmen weitergeben, die dies tun. P. >

Versuchen Sie nicht, selbst etwas außerhalb des Unternehmens zu tun.

Geben Sie Ihren Infosec / IT / Legal-Teams die URLs zu den Informationen an, die auf dieser Site gehostet werden.

Wenn Sie Informationen heruntergeladen haben, die sich auf andere Unternehmen beziehen, löschen Sie diese. Es handelt sich um vertrauliche Informationen, über die Sie nicht verfügen sollten. Lassen Sie stattdessen Ihre Infosec / IT / Legal-Teams in offizieller Funktion Kontakt mit den anderen Unternehmen aufnehmen.

Moo
2019-08-10 04:28:11 UTC
view on stackexchange narkive permalink

Um es zu entfernen, könnte ein US-Anwalt dem Hosting-Anbieter eine DMCA-Deaktivierungsbenachrichtigung ausstellen, in der er behauptet, dass Sie Eigentümer des Inhalts sind und der Verbreitung nicht zugestimmt haben. Dies sollte eine sofortige Reaktion des Hosting-Anbieters hervorrufen ehrt DMCA-Mitteilungen, auf die der Auftragnehmer reagieren kann.

Ich würde denken, dass ein professioneller Anbieter eine solche Datei "sofort" entfernen würde (dh nach einem kurzen Blick darauf, um Ihre Ergebnisse zu bestätigen), nachdem Sie sie benachrichtigt und einige Ihrer Informationsdetails dort präsentiert haben, die offensichtlich nicht online sein sollten.
@PeterA.Schneider Die meisten anständigen Anbieter sollten unter dem Schutz des sicheren Hafens handeln, was bedeutet, dass sie diese Art von Feststellungen nicht treffen können - am besten senden Sie eine ordnungsgemäße rechtliche Anfrage, wie im Rahmen der DMCA, die es ihnen ermöglicht, den Inhalt ohne eine Feststellung zu entfernen.Ein Anbieter, der Ihre Anfrage anhand des Inhalts validiert und eine Entscheidung trifft, ist einer massiven Haftung ausgesetzt.
Ja, natürlich sollte der rechtliche Weg parallel beschritten werden.Im Falle eines groben und offensichtlichen Datenlecks ("Großbank", "Passwörter" usw.) ist der Anbieter meines Erachtens verpflichtet, sofort zu handeln, wenn er darüber informiert wird, um weitere Schäden an Dritten zu vermeiden.Es sind mit Sicherheit widersprüchliche Pflichten, und es wird wichtig sein, gute Beweise zu liefern.
Beachten Sie, dass DMCA-Anfragen außerhalb der USA nicht kostenlos sind und erhebliche Kosten entstehen können.
@PeterA.Schneider FWIW, Sie sollten * niemals * einen anderen als legalen Weg einschlagen.;-) Ich würde erwarten, dass ein DMCA-Brief Vorrang vor einer "bloßen" Supportanfrage hat - z.Es muss nicht getestet werden, bevor Sie antworten - so dass dies möglicherweise der schnellste Weg ist, um das richtige technische Personal zu benachrichtigen.
@mckenzm Sprechen Sie (streng) über ein nicht US-amerikanisches Unternehmen, das eine DMCA-Anfrage an ein in den USA ansässiges Unternehmen bearbeitet, oder über die Zustellung (sagen wir) des EU-Äquivalents von DMCA an ein in der EU ansässiges Unternehmen?
Daisuke Aramaki
2019-08-12 17:49:55 UTC
view on stackexchange narkive permalink

Ich war in einer ähnlichen Situation. Ich kontaktierte sofort meinen Chef und den Besitzer (wir hatten nur 25 Leute). Der Besitzer kümmerte sich um alles, aber er bat mich, für einen Anruf zur Verfügung zu stehen. Da dies einen DOD-Auftragnehmer in den USA betraf, lag es in der Verantwortung von DOD. Das Ergebnis wurde uns nie mitgeteilt.

Lassen Sie den Eigentümer / COO / Unternehmensberater die Strafverfolgung kontaktieren.

Die US-Strafverfolgung liebt es, Menschen wegen Meineids zu fangen. Halten Sie immer den Rat eines Anwalts und einen Anwalt bereit, wenn Sie mit den Strafverfolgungsbehörden sprechen.

Lassen Sie die Anwälte alle Screenshots bearbeiten.

Lassen Sie die Strafverfolgungsbehörden andere Unternehmen darüber informieren, dass ihre vertraulichen Informationen durchgesickert sind.

Ich bin mit dem Begriff "LE" nicht vertraut.Können Sie erklären?
@chuex: möglicherweise _Law Enforcement_?
coolpasta
2019-08-12 18:31:57 UTC
view on stackexchange narkive permalink

Dies ist eine Ergänzung zu der anderen Antwort von oben (derzeit). Ich verstehe, dass es bereits 3 Tage her ist und wir keine Antwort von OP sehen werden, aber ich empfehle jedem, dem dies passieren wird, dringend, Folgendes zu berücksichtigen.

Verstehen Sie, wie Daten vorliegen Leckagen treten normalerweise auf: Drittanbieter werden zuerst angesprochen. Ich werde Ihnen sagen, dass selbst der niedrigste, aber schwerwiegende Bedrohungsakteur in der Lage ist, immense Datenmengen über Ihr Unternehmen, Auftragnehmer und seine Interna zu sammeln, damit bekannt wird, wer Auftragnehmer sind. Sie werden es vielleicht nicht glauben, aber HR-Software, mit der Ihr Unternehmen seine Mitarbeiter verwaltet, ist anfälliger als eine wehrlose Katze, die von 10 Wölfen in die Enge getrieben wird.

Oft nehmen diese Auftragnehmer die Sicherheit nicht ernst und sind so, so leichter zu durchdringen als das Unternehmen selbst, das möglicherweise die Verteidigung gestärkt hat. Stellen Sie sich das so vor - warum sollten Sie die Abwehrkräfte des Hauptunternehmens durchgehen, wenn Sie seinen Auftragnehmern oder Mitarbeitern auf niedriger Ebene nachgehen können, die keine Ahnung von Sicherheit haben?

Als Proxy kenne ich einen Fall, in dem a Die gesamte Forschungsabteilung des Landes, die aus Universitäten, dem Verteidigungsministerium und anderen bestand, verfügte über mehrere Server, auf denen sie "Forschungsergebnisse &-Schaltpläne" hochluden. Es gab einen Professor, der einen alten Chat-Server hatte, der sehr missbräuchlich war. Sie kamen über den Chat-Server dieses Mannes in das ziemlich bullige Forschungsnetzwerk, nachdem sie fast ein Dutzend Computer durchgespielt hatten, bevor sie dorthin gingen.

Möglicherweise haben Sie einen Fall, in dem ein Auftragnehmer gehackt wird. Menschen, die so im Gefängnis landen und ihr Leben ruinieren würden, sind sehr, sehr selten und oft psychisch krank. Statistisch gesehen gibt es keine Möglichkeit, dies selbst zu tun, und im Gegensatz dazu bedeutet dies, dass jemand anderes die Informationen durchgesickert ist, um das Hauptunternehmen zu verletzen. Er ist nur ein Bauer.

Sie haben auch angedeutet, dass dies eine starke Möglichkeit ist mit "Warum sollte er sich selbst keyloggen?". Das macht niemand. Sie sagten auch, dass Sie einmalige Protokolle und Token gesehen haben. Wer könnte nach diesen suchen, wenn Sie an den Auftragnehmer denken, einen Hacker, der über diesen Auftragnehmer und das Unternehmen auf das Unternehmen abzielt?

Hier riecht etwas schlecht.

Als Top Antwort sagte, gehen Sie zu einem Anwalt, aber gehen Sie nicht in böser Absicht.

Mahesh V
2019-08-12 19:10:00 UTC
view on stackexchange narkive permalink

Schlagen Sie zunächst vor, die Anmeldeinformationen von allem, was Sie wissen, zu ändern. Es gibt Hacker, die diese Art von Daten lieben und diese für ihren eigenen Gebrauch wie Cyberangriffe, Lösegeld usw. verwenden.

Initiieren Sie gleichzeitig die Beschwerde, die Website herunterzufahren und die Verbreitung von Daten im Internet zu stoppen .

Diese sind wichtig. Schützen Sie zuerst Ihr Unternehmen. Später können Sie ein Gerichtsverfahren gegen die Person einleiten.

"Zur gleichen Zeit" funktioniert selten für Menschen.Das Ändern von Tausenden von durchgesickerten Passwörtern kann eine Weile dauern, weshalb ich zuerst die Deaktivierung einleiten und dann mit dem Ändern von Passwörtern beginnen würde.


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 4.0-Lizenz, unter der er vertrieben wird.
Loading...