Question:
Ex-entrepreneur a publié le code source et les secrets de l'entreprise en ligne
user5994461
2019-08-09 15:57:32 UTC
view on stackexchange narkive permalink

Je viens de trouver mon code d'entreprise actuel sur Internet.

Nous parlons de centaines de milliers de lignes de scripts et de configurations, y compris des schémas de base de données et une bonne quantité d'informations internes. On dirait une archive de certains projets, tous concaténés dans un seul fichier.

Je n'ai pas encore eu le temps de tout parcourir. La recherche rapide des bases de données et des informations d'identification exposées fait allusion à d'autres fichiers / fonctions qui manquent.

Cela semble être le site Web personnel d'un entrepreneur qui a travaillé ici il y a 5 ans.

Modifier 1 heure plus tard: Nous avons trouvé des informations sensibles de toutes les entreprises pour lesquelles ce gars a travaillé au cours des 2 dernières décennies, principalement F500: énorme banque nationale, service postal, grand fabricant d'électronique, électricité générale ...

Mélange de code, de configuration, de notes et de ce qui semble être des journaux d'entrée de la console. Je ne sais pas pourquoi un gars ferait un keylog lui-même et encore moins le publierait sur Internet, c'est vraiment étrange.

C'est un trésor. Il existe des références à toutes sortes de composants internes avec parfois un nom d'utilisateur et un mot de passe. Accès FTP aux serveurs de production. L'accès SSH à Dieu sait quoi, même avec le numéro de jeton RSA unique qui a été utilisé s'il était protégé par 2FA.

Que peut-on faire à ce sujet et qui contacter? Cyber? Légal? FBI? SECONDE? Autre? Une combinaison de ces éléments?

Je suis au Royaume-Uni. L'entrepreneur est aux États-Unis.

Vous devez absolument contacter un avocat ** dès que possible **.Pour autant que je sache, le Royaume-Uni est concerné par le RGPD, vous devrez peut-être également signaler une violation.IMHO, cela devrait être un code rouge pour vous.
"Journaux d'entrée de la console" - sachez que la plupart des systèmes Unix le font par défaut, par exemple ".bash_history" dans votre dossier personnel.
Je suppose qu'il s'agit d'un oubli: il est fort probable que les autorisations d'accès d'une sauvegarde personnelle dans le cloud aient été bâclées.Avez-vous simplement envisagé de contacter l'entrepreneur?Ils peuvent même avoir le même numéro de téléphone!C'est peut-être le moyen le plus rapide et le plus simple de le supprimer.(Les conséquences juridiques pour eux ne résistent pas. Les dommages peuvent être énormes.)
Le contractant n'est pas concerné par le RGPD s'il est prêt à ne plus jamais retourner en Europe.Cependant, une entreprise européenne peut intenter une action civile ou pénale aux États-Unis (pour d'autres motifs).
@PeterA.Schneider C'est vraiment quelque chose qui ne devrait être fait qu'après * avoir contacté le service juridique.
@WGroleau Cela peut être vrai, mais l'entreprise touchée par la violation peut très bien être affectée par le RGPD.Après tout, ils sont tenus d'informer les autorités compétentes de la violation.
L'entreprise est touchée, au moins jusqu'au Brexit.Toutes mes excuses pour un commentaire incomplet.
Huit réponses:
Unicorn Tears
2019-08-09 18:04:37 UTC
view on stackexchange narkive permalink

Commencez par prendre des captures d'écran de ce que vous trouvez. Pour les données qui vous appartiennent, vous devez les cataloguer. Personnellement, je le téléchargerais pour que vous ayez une référence. Vous devez prendre des captures d'écran de vos propres données et éviter les données qui ne sont pas les vôtres. Assurez-vous d'inclure les URL. Documentez-les d'une manière qu'un avocat peut comprendre. Cela risque de devenir un problème juridique et non un problème informatique. Je dis "captures d'écran" parce que c'est sans ambiguïté et que les avocats comprennent les captures d'écran.

Contactez vos avocats internes, ainsi que vos responsables de la communication ou des médias. Vous devez mettre cette brèche sur leur radar. Les avocats devront alors se pencher sur le contrat commercial avec le contractant, probablement via l'équipe de gestion de compte si vous travaillez pour une grande entreprise ancienne. Personne dans la haute direction ne voudra en savoir plus sur l'IDS préféré de tous: Twitter. Vos équipes de communication / relations publiques devront traiter tous les messages qui en découlent. Votre équipe de direction devra peut-être être impliquée. Vous devriez obtenir des conseils de votre DSI, sauf si vous êtes le CIO, auquel cas je serais enclin à informer les gens en interne.

Contactez le responsable de la protection des données de votre entreprise. C'est peut-être l'avocat. Ils décideront si la violation doit être notifiée GDPR / ICO. Vous devez le faire rapidement car vous avez 72 heures pour prendre une décision à partir du moment où vous en êtes conscient; cela inclut le week-end (ne cherchez jamais d'incidents un vendredi…). Votre DPO vous conseillera. Si vous êtes le DPD, vous voudrez peut-être engager le conseiller juridique externe de votre entreprise pour confirmer vos décisions.

Une fois que vous aurez examiné les données, vous pourrez indiquer le nombre de personnes concernées, si tout. Vous serez également en mesure de déterminer si la violation de données affecte l'un de vos clients car vous pourriez avoir une obligation contractuelle de les informer.

Contactez la société d'hébergement. Si c'est quelque chose comme GitHub, ils peuvent être enclins à bien jouer. Vous devrez peut-être demander à vos avocats de leur écrire en tant que dirigeants de l'entreprise.

Contactez le contractant, idéalement via leur entreprise sous contrat, et via l'avocat interne. Demandez-leur de supprimer ce qui s'y trouve.

Vous pouvez maintenant commencer à évaluer l'impact matériel sur votre entreprise. Les informations d'identification, les clés et autres jetons d'authentification devront être modifiés, je suppose.

En fonction de la taille de votre entreprise, de votre appétit pour le risque et de votre taille de poche, vous voudrez peut-être envisager de faire appel à une criminalistique. type entreprise pour aller à la recherche de données similaires. Oui, je sais que c'est un peu le théâtre de la sécurité, mais si vous travaillez pour une entreprise FTSE100, alors un rapport avec un badge d'audit Big4 disant "plus de problèmes" est exactement ce dont vous avez besoin si le midden frappe le moulin à vent. (Je suis étonné de voir ce que je vois de grandes entreprises dépenser sur de tels rapports car, bien sûr, la même chose d'une personne interne est souvent considérée comme peu importante).

Je ne suis pas sûr des données qui n'est pas à vous. Si vous commencez à essayer de vous engager avec des tiers, il vous sera demandé quelles données vous avez obtenues d'eux et ils sont tenus de vous demander de confirmer que toutes les données que vous avez prises ont été supprimées. Personnellement, je serais enclin à ignorer toutes les données qui ne sont pas les miennes. Vous voudrez peut-être faire une divulgation à qui que vous pensez être le propriétaire des données, entièrement à vous.

Vous mentionnez keylog; si vous vous demandez pourquoi un individu peut avoir un enregistreur de frappe sur son propre PC, alors bien pour être généreux, il pourrait l'utiliser comme une simple sauvegarde de ce qu'il tape. Je connais des gens qui ont fait ça.

À part: Enfin, comme observation tangentielle, ce que vous avez trouvé n'est pas si rare. Les gens stockent toutes sortes de déchets; par exemple, des personnes relient leur stockage de données à domicile à Internet via FTP: nous effectuons des évaluations régulières pour les données contenant les chaînes de notre société.

C'est assez utile, mais je changerais une chose.En ce qui concerne les données d'autres personnes, absolument ** ne **, ** en aucun cas **, ne téléchargez une capture d'écran, ou même (dans la mesure où vous pouvez l'éviter), ne la visualisez pas.Vous semblez un peu incertain sur ce point, mais la loi est très claire dans presque toutes les juridictions.Toute tentative de téléchargement ou d'enregistrement des données de quelqu'un d'autre, sans sa permission, même si elle a déjà été divulguée, peut se terminer avec vous ou votre entreprise dans vos propres problèmes juridiques avec cette entreprise.
@Conor Mancone juste point j'ai mis à jour ma réponse car j'étais ambigu sur les données à capturer.
@ConorMancone Vaut-il la peine de contacter l'entreprise si elle est identifiable par quelque chose comme le nom de fichier?Je suppose que le PO voit une sorte de liste.Si l'OP voit un dossier appelé stackexchange.com, je pense qu'il serait bien d'envoyer à stackexchange un lien vers la liste.Comme "hé, j'ai pensé que tu aimerais savoir, je ne l'ai pas vérifié, mais tu devrais."
@TinCan Je pense que c'est parfaitement raisonnable.Vous ne pouvez évidemment pas éviter de voir des choses, et donc connaître le nom des entreprises concernées est explicable et raisonnable.Toutefois, s’ils vous demandent quoi que ce soit sur les détails de ce que vous avez trouvé, vous devez être en mesure de dire honnêtement et sans équivoque: «Je n’ai en aucun cas téléchargé ni enregistré d’informations sur votre entreprise.victime, et a cessé de chercher plus loin dès que j'ai vu qu'il s'agissait d'informations confidentielles "
Ne contactez personne par vous-même.Si l'avocat le souhaite, laissez l'avocat de l'entreprise contacter un tiers.À ce stade, vous souhaitez absolument bénéficier du soutien de l'équipe juridique de votre entreprise.Laissez-les diriger.
@ConorMancone Selon l'OP, cela "ressemble à une archive de certains projets, tous concaténés dans ** un seul fichier. **" Vous ne pouvez pas éviter de télécharger les fichiers d'autres personnes si vous voulez documenter les vôtres.
@PeterA.Schneider En relisant la question, il est difficile de dire si absolument tout est dans un seul fichier, ou simplement tout pour la société OP.Je conviens cependant que si tout est littéralement dans un seul fichier, il peut être difficile de télécharger les fichiers de quelqu'un d'autre.En général, bien qu'il y ait un principe clair: éviter absolument de télécharger les trucs d'autres personnes à moins que cela ne soit complètement inévitable.
Très bonne réponse.«La même chose d'une personne interne est souvent considérée comme comptant pour peu» Je dirais que la personne interne serait soulagée de ne pas assumer la responsabilité professionnelle de l'exactitude de son rapport;alors qu'un agent externe aura des avocats et des assurances, etc.
schroeder
2019-08-09 16:20:09 UTC
view on stackexchange narkive permalink

Vous souhaitez généralement contacter la société d'hébergement pour la retirer et conserver toutes les données et tous les journaux sous une suspension légale.

Vous pouvez également contacter les autres entreprises concernées.

Légalement, vous devrez contacter un avocat et les forces de l'ordre de votre juridiction.

user3583489
2019-08-09 17:28:09 UTC
view on stackexchange narkive permalink

Cela devrait aller de soi, mais assurez-vous que ces informations de connexion ne fonctionnent pas sur votre système. S'ils n'ont pas été désactivés lorsqu'il a quitté votre organisation (alors qu'ils auraient dû l'être), vous voudrez vérifier vos journaux d'accès pour vous assurer qu'ils n'ont pas été utilisés depuis son départ - s'ils se trouvaient sur un site Web public où n'importe qui pourrait les trouver, vous devriez supposer que quelqu'un les a essayés.

Gardez un journal soigné de tout ce que vous trouvez, y compris des détails comme quand et comment vous le trouvez. Les forces de l'ordre voudront savoir. Vous devrez peut-être très bien témoigner devant le tribunal à ce sujet un jour - même si votre entreprise ne poursuit pas, les autres entreprises pourraient le faire, et vous aurez l'air plus professionnel si vous avez tous les détails prêts lorsqu'ils vous appellent comme témoin.

Roger Lucas
2019-08-11 15:29:44 UTC
view on stackexchange narkive permalink

Si vous êtes un membre régulier du personnel de l'entreprise, votre escalade correcte doit passer par l'équipe d'Infosec, et revenir aux services juridiques et informatiques si votre entreprise n'est pas assez grande pour avoir une équipe Infosec dédiée. Je copierais également les ressources humaines sur n'importe quelle communication.

C'est un scénario extrêmement sérieux. Si vous ne savez pas quoi faire (et le fait que vous demandez très judicieusement des conseils sur Stack Exchange montre que ce n'est pas le cas), vous devez le transmettre aux équipes de votre entreprise qui le font.

N'essayez pas de faire quoi que ce soit en dehors de l'entreprise par vous-même.

Fournissez à vos équipes Infosec / IT / Legal les URL des informations hébergées sur ce site.

Si vous avez téléchargé des informations relatives à d'autres sociétés, supprimez-les. Ce sont des informations confidentielles dont vous ne devriez pas être en possession. Au lieu de cela, laissez vos équipes Infosec / IT / Legal contacter les autres sociétés à titre officiel.

Moo
2019-08-10 04:28:11 UTC
view on stackexchange narkive permalink

Pour le faire retirer, vous pouvez demander à un avocat américain d'émettre un avis de retrait DMCA au fournisseur d'hébergement, affirmant que vous êtes propriétaire du contenu et que vous n'avez pas consenti à sa distribution - cela devrait obtenir une réaction immédiate si le fournisseur d'hébergement respecte les avis DMCA, auxquels l'entrepreneur peut répondre.

Je pense qu'un fournisseur professionnel retirerait un tel fichier "immédiatement" (c'est-à-dire après un rapide coup d'œil pour corroborer vos conclusions) après que vous les ayez alertés et que vous y présentiez quelques détails de vos informations qui ne devraient évidemment pas être en ligne.
@PeterA.Schneider les fournisseurs les plus décents devraient agir dans le cadre des protections de la sphère de sécurité, ce qui signifie qu'ils ne peuvent pas faire ce genre de décisions - il est préférable d'envoyer une demande légale appropriée, comme dans le cadre du DMCA, qui leur permet de supprimer le contenu sans prendre de décision.Un fournisseur qui valide votre demande en examinant le contenu et en prenant une décision s'expose à une responsabilité massive.
Oui, bien sûr, la voie juridique doit être poursuivie en parallèle.Mais en cas de fuite de données flagrante et évidente («grande banque», «mots de passe», etc.), je crois que le fournisseur a également le devoir d'agir immédiatement lorsqu'il en est alerté, afin d'éviter d'autres dommages aux tiers.Ce sont des devoirs contradictoires à coup sûr, et il sera important de donner de bonnes preuves.
Sachez qu'en dehors des États-Unis, les demandes DMCA ne sont pas gratuites et peuvent entraîner des coûts importants.
@PeterA.Schneider FWIW, Vous ne devriez * jamais * poursuivre une avenue autre que légale.;-) Je m'attendrais à ce qu'une lettre DMCA ait la priorité sur une "simple" demande d'assistance --- par exempleil n'a pas besoin d'être trié avant de répondre - de sorte que ce pourrait être le moyen le plus rapide d'avertir le bon personnel technique.
@mckenzm Parlez-vous (strictement) d'une entreprise non américaine servant une demande DMCA à une entreprise basée aux États-Unis, ou de servir (disons) l'équivalent européen du DMCA à une entreprise basée dans l'UE?
Daisuke Aramaki
2019-08-12 17:49:55 UTC
view on stackexchange narkive permalink

J'ai été dans une situation similaire. J'ai contacté mon patron et le propriétaire immédiatement (nous n'avions que 25 personnes). Le propriétaire s'est occupé de tout, mais il m'a demandé d'être disponible pour un appel téléphonique. Comme cela impliquait un entrepreneur du DOD aux États-Unis, c'était une responsabilité du DOD. On ne nous a jamais dit le résultat.

Laissez le propriétaire / directeur de l'exploitation / l'avocat de l'entreprise contacter les forces de l'ordre.

Les forces de l'ordre américaines adorent piéger les gens pour parjure. Ayez toujours les conseils d'un avocat et un avocat présents lorsque vous parlez avec les forces de l'ordre.

Laissez les avocats gérer toutes les captures d'écran.

Laissez les forces de l'ordre informer les autres entités de la fuite de leurs informations sensibles.

Je ne connais pas le terme «LE».Peux-tu expliquer?
@chuex: peut-être _Law Enforcement_?
coolpasta
2019-08-12 18:31:57 UTC
view on stackexchange narkive permalink

Ceci est un ajout à l'autre réponse du haut (actuellement). Je comprends que cela fait déjà 3 jours et que nous ne verrons pas de réponse d'OP, mais je suggère fortement à tous ceux qui verront cela leur arriver de considérer ce qui suit.

Comprendre comment les données les fuites se produisent généralement: les entrepreneurs tiers sont ciblés en premier. Je vous dirai que même l'acteur de la menace la plus faible, mais sérieuse, a la capacité de rassembler d'immenses foules de données sur votre entreprise, les sous-traitants et ses internes afin de savoir qui sont les sous-traitants. Vous ne le croyez peut-être pas, mais les logiciels RH que votre entreprise utilise pour gérer ses employés sont plus vulnérables qu'un chat sans défense coincé par 10 loups.

Souvent, ces sous-traitants ne sont pas sérieux au sujet de la sécurité et sont très plus facile à pénétrer que l'entreprise elle-même qui aurait pu renforcer les défenses. Pensez-y de cette façon - pourquoi passer par les défenses de l'entreprise principale alors que vous pouvez vous en prendre à ses sous-traitants ou à ses employés de niveau inférieur qui n'ont aucune idée de la sécurité?

Par procuration, je connais un cas où un toute la division de recherche du pays, composée d'universités, du département de la défense et d'autres, disposait de plusieurs serveurs sur lesquels ils téléchargeaient "les résultats de la recherche schémas d'&". Il y avait un professeur qui avait un vieux serveur de discussion très abusable. Ils sont entrés dans le réseau de recherche assez costaud via le serveur de discussion de ce type après avoir flipper près d'une douzaine d'ordinateurs avant de s'y rendre.

Vous pourriez avoir un cas où un entrepreneur a été piraté. Les personnes qui se retrouveraient en prison comme celle-ci et verraient leur vie ruinée sont très, très rares et souvent malades mentales. Statistiquement parlant, il n'a aucun moyen de le faire lui-même et, en revanche, cela signifie que quelqu'un d'autre a divulgué les informations pour nuire à la société principale. Ce n'est qu'un pion.

Vous avez également laissé entendre que c'était une possibilité forte avec "pourquoi ferait-il un keylog lui-même?". Personne ne fait ça. Vous avez également dit que vous avez vu des décharges de journaux et de jetons à usage unique. Selon vous, qui pourrait les rechercher lorsque vous pensez à l'entrepreneur, un pirate informatique ciblant l'entreprise par l'intermédiaire de cet entrepreneur et de l'entreprise?

Quelque chose sent mauvais ici.

En haut réponse: allez voir un avocat, mais n'allez pas de mauvaise foi.

Mahesh V
2019-08-12 19:10:00 UTC
view on stackexchange narkive permalink

Commencez par vous suggérer de modifier les informations d'identification de tout ce que vous savez. Il y a des pirates qui aiment ce type de données et l'utilisent pour leur propre usage, comme les cyberattaques, les rançons, etc. .

Celles-ci sont importantes. Protégez d'abord votre entreprise. Plus tard, vous pouvez engager des poursuites judiciaires contre la personne.

"Même temps" fonctionne rarement pour les humains.Changer des milliers de mots de passe divulgués peut prendre un certain temps, c'est pourquoi je commencerais d'abord le retrait, puis je commencerais à changer les mots de passe.


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 4.0 sous laquelle il est distribué.
Loading...