it-swarm.com.de

Ex-Auftragnehmer hat den Quellcode und die Geheimnisse des Unternehmens online veröffentlicht

Ich habe gerade meinen aktuellen Buchungskreis im Internet gefunden.

Wir sprechen von Hunderttausenden von Zeilen mit Skripten und Konfigurationen, einschließlich Datenbankschemata und einer angemessenen Menge interner Informationen. Sieht aus wie ein Archiv einiger Projekte, die alle in einer Datei zusammengefasst sind.

Ich hatte noch keine Zeit, alles durchzugehen. Die schnelle Suche nach exponierten Datenbanken und Anmeldeinformationen weist auf andere fehlende Dateien/Funktionen hin.

Dies scheint die persönliche Website eines Auftragnehmers zu sein, der vor 5 Jahren hier gearbeitet hat.

1 Stunde später bearbeiten: Vertrauliche Informationen von jedem Unternehmen gefunden, für das der Typ in den letzten 2 Jahrzehnten gearbeitet hat, hauptsächlich F500: riesige Nationalbank, Postdienst, großer Elektronikhersteller, ...

Mischung aus Code, Konfiguration, Notizen und scheinbar Konsoleneingabeprotokollen. Keine Ahnung, warum ein Typ selbst Keylog machen würde, geschweige denn es im Internet veröffentlichen würde, das ist wirklich seltsam.

Es ist eine Schatzkammer. Es gibt Verweise auf alle Arten von Interna mit manchmal Benutzernamen und Passwort. FTP-Zugriff auf Produktionsserver. SSH-Zugriff auf Gott weiß was, selbst mit der einmaligen RSA-Token-Nummer, die verwendet wurde, wenn sie 2FA-geschützt war.

Was kann man dagegen tun und an wen kann man sich wenden? Cyber? Legal? FBI? SEC? Andere? Irgendeine Kombination davon?

Ich bin in Großbritannien. Der Auftragnehmer ist in den USA.

105
user5994461

Machen Sie zuerst Screenshots von dem, was Sie finden. Für die Daten, die Ihnen gehören, sollten Sie diese katalogisieren. Persönlich würde ich es herunterladen, damit Sie eine Referenz haben. Sie sollten Screenshots Ihrer eigenen Daten machen und Daten vermeiden, die nicht Ihnen gehören. Stellen Sie sicher, dass Sie die URLs angeben. Dokumentieren Sie diese so, dass ein Anwalt sie verstehen kann. Dies wird wahrscheinlich zu einem rechtlichen Problem, nicht zu einem IT-Problem. Ich sage "Screenshots", weil das eindeutig ist und Anwälte Screenshots verstehen.

Wenden Sie sich an Ihre internen Anwälte sowie an Ihre Kommunikations- oder Medienmitarbeiter. Sie müssen diese Verletzung auf ihr Radar bringen. Die Anwälte müssen dann den Handelsvertrag mit dem Auftragnehmer prüfen, wahrscheinlich über das Account-Management-Team, wenn Sie für ein großes altes Unternehmen arbeiten. Niemand in Führungspositionen wird es von jedermanns Lieblings-IDS erfahren wollen: Twitter. Ihre Kommunikations-/PR-Teams müssen sich mit allen daraus resultierenden Nachrichten befassen. Möglicherweise muss Ihr Führungsteam einbezogen werden. Sie sollten sich von Ihrem CIO beraten lassen, es sei denn, Sie sind der CIO. In diesem Fall würde ich die Leute gerne intern informieren.

Wenden Sie sich an Ihren Datenschutzbeauftragten. Das kann der Anwalt sein. Sie werden entscheiden, ob der Verstoß GDPR/ICO meldepflichtig ist. Sie müssen dies schnell tun, da Sie 72 Stunden Zeit haben, um die Entscheidung an dem Punkt zu treffen, den Sie kennen. Dazu gehört auch das Wochenende (suchen Sie niemals an einem Freitag nach Zwischenfällen…). Ihr Datenschutzbeauftragter wird Sie beraten. Wenn Sie der Datenschutzbeauftragte sind, sollten Sie Ihren externen Rechtsberater hinzuziehen, um Ihre Entscheidungen zu bestätigen.

Sobald Sie sich die Daten angesehen haben, können Sie angeben, wie viele betroffene Personen gegebenenfalls betroffen sind. Sie können auch feststellen, ob die Datenverletzung einen Ihrer Kunden betrifft, da Sie möglicherweise vertraglich verpflichtet sind, diese zu informieren.

Kontaktieren Sie das Hosting-Unternehmen. Wenn es so etwas wie GitHub ist, neigen sie möglicherweise dazu, gut zu spielen. Möglicherweise müssen Sie Ihre Anwälte dazu bringen, ihnen als leitende Angestellte des Unternehmens zu schreiben.

Kontaktieren Sie den Auftragnehmer, idealerweise über dessen Vertragsunternehmen, und über den internen Anwalt. Fordern Sie, dass sie das abbauen, was da ist.

Jetzt können Sie beginnen, die wesentlichen Auswirkungen auf Ihr Unternehmen zu ermitteln. Anmeldeinformationen, Schlüssel und andere Authentifizierungstoken müssen erwartungsgemäß geändert werden.

Abhängig von der Größe Ihres Unternehmens, Ihrer Risikobereitschaft und Ihrem Taschenformat sollten Sie in Betracht ziehen, ein forensisches Unternehmen hinzuzuziehen, um nach ähnlichen Daten zu suchen. Ja, ich weiß, es ist ein bisschen Sicherheitstheater, aber wenn Sie für eine FTSE100-Firma arbeiten, ist ein Bericht mit einem Big4-Audit-Badge mit der Aufschrift "Keine Probleme mehr" genau das, was Sie brauchen, wenn der Midden die Windmühle trifft. (Ich bin erstaunt darüber, was große Unternehmen für solche Berichte ausgeben, da natürlich das Gleiche von einer internen Person oft als wenig wichtig angesehen wird.).

Ich bin mir nicht sicher über die Daten, die nicht Ihre sind. Wenn Sie versuchen, mit Dritten in Kontakt zu treten, werden Sie zwangsläufig gefragt, welche Daten Sie von diesen erhalten haben, und diese müssen Sie auffordern, zu bestätigen, dass alle von Ihnen aufgenommenen Daten gelöscht wurden. Persönlich würde ich gerne alle Daten ignorieren, die nicht von mir stammen. Möglicherweise möchten Sie eine Offenlegung gegenüber demjenigen vornehmen, von dem Sie glauben, dass er der Dateneigentümer ist, ganz bei Ihnen.

Sie erwähnen Keylog; Wenn Sie sich fragen, warum eine Person möglicherweise einen Tastendruck-Logger auf ihrem eigenen PC hat, können Sie ihn, um großzügig zu sein, als einfache Sicherung ihrer Eingabe verwenden. Ich kenne Leute, die das getan haben.

Nebenbei: Schließlich ist das, was Sie als tangentiale Beobachtung gefunden haben, nicht ungewöhnlich. Die Leute lagern alle Arten von Müll; Zum Beispiel verbinden Menschen ihren privaten Datenspeicher über FTP mit dem Internet: Wir führen regelmäßige Bewertungen für solche Daten durch, die unsere Unternehmenszeichenfolgen enthalten.

82
Unicorn Tears

In der Regel möchten Sie sich an das Hosting-Unternehmen wenden, um es zu entfernen und alle Daten und Protokolle legal zu speichern.

Sie können sich auch an die anderen betroffenen Unternehmen wenden.

Rechtlich gesehen müssen Sie sich an einen Anwalt und die Strafverfolgungsbehörden in Ihrer Rechtsprechung wenden.

25
schroeder

Es sollte selbstverständlich sein, aber stellen Sie sicher, dass diese Anmeldeinformationen auf Ihrem System nicht funktionieren. Wenn sie nicht deaktiviert wurden, als er Ihre Organisation verließ (wenn sie hätten sein sollen), sollten Sie Ihre Zugriffsprotokolle überprüfen, um sicherzustellen, dass sie seit seiner Abreise nicht mehr verwendet wurden - wenn sie sich auf einer öffentlichen Website befanden, auf der Jeder könnte sie finden, Sie sollten davon ausgehen, dass jemand sie ausprobiert hat.

Führen Sie ein sorgfältiges Protokoll über alles, was Sie finden, einschließlich Details wie wann und wie Sie es finden. Die Strafverfolgung wird es wissen wollen. Möglicherweise müssen Sie eines Tages vor Gericht aussagen - auch wenn Ihr Unternehmen nicht klagt, könnten die anderen Unternehmen dies tun, und Sie werden professioneller aussehen, wenn Sie alle Details bereit haben, wenn sie Sie als Zeugen anrufen.

19
user3583489

Wenn Sie ein regulärer Mitarbeiter des Unternehmens sind, sollte Ihre korrekte Eskalation durch das Infosec-Team erfolgen und auf die Rechts- und IT-Abteilungen zurückgreifen, wenn Ihr Unternehmen nicht groß genug ist, um ein dediziertes Infosec-Team zu haben. Ich würde auch HR auf jede Kommunikation kopieren.

Dies ist ein äußerst ernstes Szenario. Wenn Sie nicht wissen, was Sie tun sollen (und die Tatsache, dass Sie sehr vernünftig um Rat zu Stack Exchange bitten, zeigt, dass Sie dies nicht tun), müssen Sie dies an die Teams in Ihrem Unternehmen weitergeben, die dies tun.

Versuchen Sie nicht, etwas außerhalb des Unternehmens selbst zu tun.

Stellen Sie Ihren Infosec/IT/Legal-Teams die URLs zu den Informationen zur Verfügung, die auf dieser Site gehostet werden.

Wenn Sie Informationen heruntergeladen haben, die sich auf andere Unternehmen beziehen, löschen Sie diese. Es handelt sich um vertrauliche Informationen, über die Sie nicht verfügen sollten. Lassen Sie stattdessen Ihre Infosec/IT/Legal-Teams in offizieller Funktion Kontakt mit den anderen Unternehmen aufnehmen.

17
Roger Lucas

Wenn Sie es entfernen möchten, kann ein US-Anwalt dem Hosting-Anbieter eine DMCA-Deaktivierungsbenachrichtigung ausstellen, in der er behauptet, dass Sie Eigentümer des Inhalts sind und der Verbreitung nicht zugestimmt haben. Dies sollte eine sofortige Reaktion erhalten, wenn der Hosting-Anbieter DMCA-Benachrichtigungen beachtet , auf die der Auftragnehmer reagieren kann.

7
Moo

Ich war in einer ähnlichen Situation. Ich kontaktierte sofort meinen Chef und den Besitzer (wir hatten nur 25 Leute). Der Besitzer kümmerte sich um alles, aber er bat mich, für einen Anruf zur Verfügung zu stehen. Da dies einen DOD-Auftragnehmer in den USA betraf, lag es in der Verantwortung von DOD. Das Ergebnis wurde uns nie mitgeteilt.

Lassen Sie den Eigentümer/COO/Unternehmensberater die Strafverfolgung kontaktieren.

Die US-Strafverfolgungsbehörden lieben es, Menschen wegen Meineids zu fangen. Halten Sie immer einen Anwalt und einen Anwalt bereit, wenn Sie mit den Strafverfolgungsbehörden sprechen.

Lassen Sie die Anwälte alle Screenshots bearbeiten.

Lassen Sie die Strafverfolgungsbehörden andere Unternehmen darüber informieren, dass ihre vertraulichen Informationen durchgesickert sind.

2
Daisuke Aramaki

Dies ist eine Ergänzung zu der anderen Antwort von oben (derzeit). Ich verstehe, dass es bereits 3 Tage her ist und wir keine Antwort von OP sehen werden, aber ich empfehle jedem, dem dies passieren wird, dringend, Folgendes zu berücksichtigen.

Verstehen Sie, wie Datenlecks normalerweise auftreten: Drittanbieter werden zuerst angesprochen. Ich werde Ihnen sagen, dass selbst der niedrigste, aber schwerwiegende Bedrohungsakteur in der Lage ist, immense Datenmengen über Ihr Unternehmen, Auftragnehmer und seine Interna zu sammeln, damit bekannt wird, wer Auftragnehmer sind. Sie werden es vielleicht nicht glauben, aber HR-Software, mit der Ihr Unternehmen seine Mitarbeiter verwaltet, ist anfälliger als eine wehrlose Katze, die von 10 Wölfen in die Enge getrieben wird.

Oft nehmen diese Auftragnehmer die Sicherheit nicht ernst und sind viel einfacher zu durchdringen als das Unternehmen selbst, das möglicherweise die Verteidigung gestärkt hat. Stellen Sie sich das so vor - warum sollten Sie die Abwehrkräfte des Hauptunternehmens durchgehen, wenn Sie seinen Auftragnehmern oder Mitarbeitern auf niedriger Ebene nachgehen können, die keine Ahnung von Sicherheit haben?

Als Stellvertreter kenne ich einen Fall, in dem die gesamte Forschungsabteilung eines Landes, die aus Universitäten, der Verteidigungsabteilung und anderen bestand, mehrere Server hatte, auf denen sie "Forschungsergebnisse und Schaltpläne" hochluden. Es gab einen Professor, der einen alten Chat-Server hatte, der sehr missbräuchlich war. Sie kamen über den Chat-Server dieses Typen in das ziemlich bullige Forschungsnetzwerk, nachdem sie fast ein Dutzend Computer durchgespielt hatten, bevor sie dorthin gingen.

Es kann vorkommen, dass ein Auftragnehmer gehackt wird. Menschen, die so im Gefängnis landen und ihr Leben ruinieren, sind sehr, sehr selten und oft psychisch krank. Statistisch gesehen gibt es keine Möglichkeit, dies selbst zu tun, und im Gegensatz dazu bedeutet dies, dass jemand anderes die Informationen durchgesickert ist, um das Hauptunternehmen zu verletzen. Er ist nur ein Bauer.

Sie haben auch angedeutet, dass dies eine starke Möglichkeit ist mit "Warum sollte er sich selbst keyloggen?". Das macht niemand. Sie sagten auch, dass Sie Dumps von Protokollen und Token gesehen haben, die einmalig verwendet wurden. Wer könnte Ihrer Meinung nach nach diesen suchen, wenn Sie an den Auftragnehmer denken, einen Hacker, der das Unternehmen über diesen Auftragnehmer und das Unternehmen anspricht?

Hier riecht etwas schlecht.

Wie die oberste Antwort sagte, gehen Sie zu einem Anwalt, aber gehen Sie nicht in böser Absicht.

1
coolpasta

Schlagen Sie zunächst vor, die Anmeldeinformationen von allem, was Sie wissen, zu ändern. Es gibt Hacker, die diese Art von Daten lieben und diese für ihren eigenen Gebrauch wie Cyberangriffe, Lösegeld usw. verwenden.

Initiieren Sie gleichzeitig die Beschwerde, um die Website zu entfernen und die Verbreitung von Daten im Internet zu stoppen.

Diese sind wichtig. Schützen Sie zuerst Ihr Unternehmen. Später können Sie ein Gerichtsverfahren gegen die Person einleiten.

0
Mahesh V