元請負業者が公開した会社のソースコードと秘密をオンラインで公開

Question

私の現在の会社コードを普通のインターネットで見つけました。

データベーススキーマや大量の内部情報など、何十万行ものスクリプトと構成について話し合っています。いくつかのプロジェクトのアーカイブのように見え、すべて1つのファイルに連結されています。

まだすべてを通過する時間はありませんでした。公開されたデータベースと資格情報のクイック検索は、不足している他のファイル/機能を示唆しています。

これは、5年前にここで働いていた請負業者の個人Webサイトのようです。

1時間後の編集：過去20年間に男が働いていたすべての会社から機密情報を見つけました。主にF500：巨大な国立銀行、郵便局、大手電子機器メーカー、一般電気...

コード、構成、メモ、およびコンソール入力ログのように見えるものの組み合わせ。なぜ男が自分でキーログを作成し、それをインターネットで公開するのかはわかりませんが、これは本当に奇妙です。

宝庫です。場合によってはユーザー名とパスワードを使用して、あらゆる種類の内部への参照があります。本番サーバーへのFTPアクセス。神へのSSHアクセスは、2FA保護されている場合に使用された1回限りのRSAトークン番号を使用しても、何を知っているかを知っています。

それについて何ができ、誰に連絡するのですか？サイバー？法的？ FBI？ SEC？その他？これらの組み合わせは？

私はイギリスにいます。請負業者は米国にいます。

Unicorn Tears · Answer

まず、見つけたもののスクリーンショットを撮ります。自分のデータについては、カタログ化する必要があります。個人的には、参照できるようにダウンロードします。自分のデータのスクリーンショットを撮り、自分のものではないデータは避けてください。必ずURLを含めてください。弁護士が理解できる方法でそれらを文書化します。これは、ITの問題ではなく、法的な問題になる可能性があります。「スクリーンショット」と言いますが、それは明白であり、弁護士はスクリーンショットを理解しています。

社内弁護士に加えて、コミュニケーションまたはメディア関係者に連絡してください。あなたはこの侵害を彼らのレーダーに乗せる必要があります。その後、弁護士は請負業者との商業契約を調査する必要があります。大規模な古い会社で働いている場合は、おそらくアカウント管理チームを経由します。上級幹部の誰もが、みんなのお気に入りのIDSであるTwitterからそれについて知りたいとは思わないでしょう。コミュニケーション/ PRチームは、これから発生するメッセージに対処する必要があります。あなたの経営陣は関与する必要があるかもしれません。 are CIOでない限り、CIOからガイダンスを得る必要があります。

会社のデータ保護担当者と協力してください。それは弁護士かもしれません。違反がGDPR/ICO通知可能かどうかを決定します。あなたが知っているポイントから決定を下すために72時間あるので、あなたはこれを素早くしなければなりません。これには週末も含まれます（金曜日にインシデントを探しに行くことはありません…）。 DPOがアドバイスします。あなたがDPOである場合、あなたの会社の外部の法律顧問にあなたの決定を確認するように依頼することができます。

データを確認すると、影響を受けるデータ主体がある場合、その数にアドバイスを与えることができます。契約上の義務があるため、データ侵害がクライアントに影響を与えるかどうかを判断することもできます。

ホスティング会社にお問い合わせください。 GitHubのようなものであれば、うまくプレイする傾向があるかもしれません。弁護士に会社の役員として手紙を書いてもらう必要があるかもしれません。

理想的には契約会社を介して、または社内弁護士を介して請負業者に連絡してください。そこにあるものを破壊するように要求します。

これで、ビジネスへの実質的な影響を解決することができます。資格情報、キー、およびその他の認証トークンは、予想どおり変更する必要があります。

会社の規模、リスクに対する欲求、およびポケットのサイズに応じて、フォレンジックタイプの会社を導入して、同様のデータを探しに行くことを検討してください。はい、それは少しセキュリティシアターであることを知っていますが、FTSE100の会社で働いている場合、Bigdenの監査バッジが付いているレポートで、「これ以上問題はありません」と書かれていれば、真ん中の人が風車にぶつかったときに必要になります。（もちろん、大企業がそのようなレポートに費やしているのを見て、私は驚いています。もちろん、社内の人からの同じことは、ほとんど数えられないと見なされています）。

自分のものではないデータについてはわかりません。第三者との関わりを開始すると、第三者から取得したデータが尋ねられ、取得したデータが削除されたことを確認するよう求められます。個人的には、自分のものではないデータを無視する傾向があります。完全にあなた次第で、データの所有者だと思う人には誰にでも開示したいかもしれません。

キーログについて言及します。なぜ個人が自分のPCにキーストロークロガーを持っているのか疑問に思っているのなら、寛大であっても、タイプしたものの単純なバックアップとしてそれを使用しているかもしれません。私はそれをした人を知っています。

余談：最後に、接線観察として、あなたが見つけたものはそれほど珍しいことではありません。人々はあらゆる種類のジャンクを保管しています。たとえば、人々は自宅のデータストレージをFTP経由でインターネットにリンクします。私たちは、会社の文字列を含むそのようなデータに対して定期的な評価を実行します。

schroeder · Answer

通常、ホスティング会社に連絡してそれを削除し、すべてのデータとログを訴訟ホールドの対象にします。

影響を受ける他の会社に連絡することもできます。

法的には、管轄区域の弁護士および法執行機関に連絡する必要があります。

user3583489 · Answer

言うまでもありませんが、これらのログイン資格情報がシステムで機能していないことを確認してください。彼らが組織を去ったときに（非活動化されるべきだったときに）非アクティブ化されていなかった場合は、アクセスログを監査して、彼が去ってから使用されていないことを確認する必要があります。だれでもそれらを見つけることができるので、誰かがそれらを試したことを想定する必要があります。

いつ、どのようにして見つけたのかなど、見つけたものすべてを注意深く記録してください。法執行機関は知りたいでしょう。あなたはこの日について法廷で証言しなければならないこともあるでしょう。たとえあなたの会社が訴訟を起こさなくても、他の会社はそうする可能性があります。証人としてあなたに電話したときにすべての詳細が準備できていれば、より専門的に見えるでしょう。

Roger Lucas · Answer

会社の正社員である場合、適切なエスカレーションはInfosecチームを通じて行う必要があり、会社が専任のInfosecチームを配置できるほど大きくない場合は、法務部門とIT部門にフォールバックする必要があります。私はまた、あらゆるコミュニケーションで人事をコピーします。

これは非常に深刻なシナリオです。何をすべきかわからない場合（そして、Stack Exchangeについて非常に賢明にアドバイスを求めているという事実から、それがわからないことがわかった場合）、これを社内のチームに渡す必要があります。

社外では自分で何もしないでください。

Infosec/IT/Legalチームに、そのサイトでホストされている情報へのURLを提供します。

他社に関する情報をダウンロードしている場合は、削除してください。それはあなたが所持してはならない機密情報です。代わりに、Infosec/IT/Legalチームに公式な立場で他の会社に連絡してもらいます。

Moo · Answer

削除するには、米国の弁護士にホスティングプロバイダーにDMCA削除通知を発行させ、コンテンツの所有者であり、コンテンツの配布に同意していないことを主張することができます。これは、ホスティングプロバイダーがDMCA通知を尊重している場合、即座に対応する必要があります。、請負業者が対応できる。

Daisuke Aramaki · Answer

私も同じような状況にあります。私は上司とオーナーにすぐに連絡しました（25人しかいませんでした）。所有者はすべてを処理しましたが、彼は私が電話に出られるように頼みました。これには米国のDOD請負業者が関与したため、DODの責任でした。結果は知らされなかった。

所有者/ COO /法人弁護士に法執行機関に連絡してもらいます。

米国の法執行機関は偽証のために人々を捕らえるのが大好きです。法執行機関と話すときは、常に弁護士の助言と弁護士の立会いが必要です。

弁護士にスクリーンショットを任せる。

法執行機関が他のエンティティに機密情報が漏洩したことを通知します。

coolpasta · Answer

これは、上から（現在）他の回答への追加です。既に3日が経過しており、OPからの回答が表示されないことを理解していますが、これが発生する可能性のある人には、以下を検討することを強くお勧めします。

データリークが通常どのように発生するかを理解します。サードパーティの請負業者が最初に対象となります。最低でも、深刻な脅威のアクターには、会社、請負業者、およびその内部に関する膨大な量のデータを収集する能力があるため、請負業者が誰であるかを知ることができます。信じられないかもしれませんが、会社が従業員を管理するために使用するHRソフトウェアは、10人の狼が追い詰める無防備な猫よりも脆弱です。

多くの場合、これらの請負業者はセキュリティについて真剣ではなく、防御を強化した可能性のある会社自体よりも侵入しやすい方法です。このように考えてみてください。セキュリティについて何も知らない請負業者や下層部の従業員を追いかけることができるのに、なぜ主な会社の防御を通過するのでしょうか。

代理で言うと、大学や国防総省などで構成された国の研究部門全体に複数のサーバーがあり、そこに「研究結果と回路図」をアップロードする場合がありました。非常に乱用された古いチャットサーバーを持っていた教授がいました。彼らはそこに行く前にダース近くのコンピューターをピンボールした後、その男のチャットサーバーを通じてかなり頑丈な研究ネットワークに入った。

請負業者がハッキングされるケースがあるかもしれません。このように刑務所に身を投じ、人生を台無しにする人々は、非常にまれで、しばしば精神的に病気です。統計的に言えば、彼が自分でこれを行う方法はなく、対照的に、他の誰かが情報を漏らしてメイン会社を傷つけたことを意味します。彼は単なるポーンです。

また、「なぜ彼は自分でキーログを記録するのか」という強い可能性があることをほのめかしました。誰もそれをしません。また、1回限りのログとトークンのダンプを見たとも言っています。請負業者、この請負業者と会社を通じて会社を狙ったハッカーについて考えるとき、誰がこれらを探していると思いますか？

ここで何か臭いがします。

一番上の答えが言ったように、弁護士に行ってください、しかし悪意を持って行ってはいけません。

Mahesh V · Answer

最初に、あなたが知っているすべての資格情報を変更することを提案します。この種のデータを愛し、サイバー攻撃、身代金ウェアなどの独自の用途にこれを使用するハッカーがいます。

また、同時に、サイトを停止し、インターネット上でのデータの拡散を停止するように苦情を開始します。

これらは重要です。まずあなたのビジネスを保護します。後で、その人の法的手続きに行くことができます。