Come procedere se l'amministratore e il CERT responsabile non risolvono il problema?

Naviga le tue risposte
2

Circa sei mesi fa, mentre provavo nuovi google-dork, mi sono imbattuto in una cartella aperta contenente file personali.

Con mia sorpresa, google mi ha portato direttamente alla cartella errata di un dipendente di un noto istituto scientifico. Contiene dati di ricerca combinati con foto personali e documenti finanziari.

Sono stato sollevato nel constatare che avevano le giuste infrastrutture sul posto; la loro chiave PGP pubblica era prontamente disponibile. Ma dopo aver contattato l'amministratore della sicurezza e ottenuto la sua assicurazione che avrebbe controllato, non è successo nulla.

1.5 mesi fa, ho anche riportato i dettagli al mio CERT nazionale, che ha accettato di agire come intermediario e risolvere il problema. Ancora niente. La pagina si carica ancora.

Non sono mai stato in questa situazione prima, fughe di informazioni di questa portata vengono sempre risolte senza problemi nella mia limitata esperienza. Quindi mi rivolgo a SE per un consiglio.

Quale sarebbe una buona linea d'azione qui? Potrei avvisare l'utente interessato, sarebbe motivato a risolverlo. Ma non sono sicuro che sia appropriato e privo di rischi in questa situazione.

    
posta J.A.K. 02.02.2017 - 01:05
fonte

1 risposta

2

Le cose importanti a cui rispondere sono:

  • Qual è la cosa etica da fare?
  • Qual è la cosa moralmente giusta da fare?
  • Qual è la cosa legale da fare?
  • Devo recitare?
  • Che cosa accadrebbe se non recitassi?

Penso che vi sia un accordo generale sul fatto che sia stata una scelta giusta (moralmente ed eticamente) per notificare il personale IT locale, nonché il CERT appropriato.

Ora che è stato esaurito, quali sono le prospettive? Probabilmente dovremmo guardare a cosa succederebbe se ti sedessi sulle tue mani e non facessi altro:

  • Hai fatto la cosa moralmente giusta da fare
  • Hai fatto un'azione eticamente sana
  • Sei coperto legalmente, come hai segnalato il problema
  • Qualcun altro potrebbe potenzialmente trovare i documenti sensibili personalmente

Quando invio un problema di sicurezza, I sempre riceve qualcosa per iscritto. Dal mio tempo in forze dell'ordine, ho avuto una strong politica di CYA, meglio conosciuta come "cover your a **". Non è chiaro se lo hai fatto, ma questo porta a "Devo seguire?". Non sei obbligato a costringere le persone a scavare questo backup, ma potresti volerlo. Consiglierei di parlare direttamente con l'individuo, tramite e-mail, invece del CERT. Puoi scrivere l'e-mail in questo modo:

Good afternoon,

It's important that the two of us communicate, as it has come to my attention your personal files are out on the web.

I have notified the local IT team and was hopping they would follow up with you, this doesn't seem to be the case.

I would strongly recommend we talk about this, as the documents (at least from the file names) look to be personal and sensitive. I respect your privacy, and that's why I'm emailing you now, as someone has failed their duty to bring this to your attention.

You can give me a call at XXX XXX XXX ext. XXXX or email at [email protected]

Thanks.

Ho trovato importante non mettere troppe informazioni nell'email , in quanto riguarda informazioni potenzialmente private e non sai chi leggerà l'email. Evita anche di inserire link in email come queste, poiché i sistemi di spam potrebbero lanciare il messaggio nella cartella spam per non vedere più la luce del giorno.

Guardando la situazione, non sei nuovamente obbligato a scavare tutto questo backup. Dal suono di esso, l'applicazione dei problemi di privacy non ti preoccupa, non è compito tuo . Tuttavia, per il rispetto della persona, vorresti considerare l'emailing / telefonandoli, dato che qualcun altro sembra aver fallito il loro lavoro. Le uniche due ripercussioni che possono emergere sono:

  • Dicono grazie, e si mettono al lavoro per sistemarlo da soli
  • Si arrabbiano, pensando di aver "hackerato" nei loro file e di segnalarlo.

Con l'ultima opzione, se è probabile, allegare una copia delle e-mail che hai inviato in modo che l'utente finale sappia che hai provato a risolverlo.

    
risposta data 02.02.2017 - 02:10
fonte

Leggi altre domande sui tag

WannaCry - blocca il callback IP / dominio? Web App Esegue la scansione delle scansioni attraverso il firewall di rete?