Scoperto l'enorme violazione dei dati di qualcun altro, cosa devo fare?

Naviga le tue risposte
1

Ho comprato un vecchio Apple Xserve su ebay. Il venditore era un rivenditore di computer usato, non il proprietario originale del server / dati. I dischi rigidi del server sono stati cancellati e non avevano OS su di essi, ma avevano una cartella con nome dispari.

Risulta che la cartella contiene tutti i dati finanziari e delle risorse umane per una grande azienda di 100-200 persone. Ha TUTTO ciò che potreste mai sperare di NON trapelare. Numeri di previdenza sociale, nomi, indirizzi, numeri, salari, informazioni di contatto di emergenza, persino foto del personale. Aveva persino gli W-9 dei loro appaltatori indipendenti. Mi fa male perché sono un appaltatore indipendente e ho dato i miei W-9 a molte aziende. Chissà quanto bene quelle aziende proteggono i miei dati. (I W-9 hanno spesso numeri di previdenza sociale su di loro)

Tutti i file avevano date dal 2012 e precedenti. Ho comprato il server / disco all'inizio del 2018. Quindi per 6 anni, chissà dove erano questi dati. Ma il 2012 è quando è uscito dal servizio. Anche il server era un Xserve del 2009, ma il vettore di unità proveniva da un Xserve G5 (2005). Il che significa che è abbastanza probabile che questa unità non sia arrivata con questo server. Se questa opzione è stata eseguita nella società o se il rivenditore ha appena afferrato scatole di unità e le ha bloccate in qualunque computer ne avesse bisogno, chissà.

Ho sostituito le unità con altre nuove, cosa che avrei fatto comunque, e ora il server è in servizio per me. Ma le unità originali sono sulla mia scrivania. Non so ancora cosa fare con loro. Ho provato a contattare l'azienda due volte, ma non ho mai sentito indietro.

Se lo sento, sospetto che quello che faranno sia dirmi di distruggerli, o di mandarmeli indietro e poi li distruggeranno ... e non faranno altro. Quello che dovrebbero fare è licenziare il dipartimento IT 2012 se qualcuno di loro lavora ancora lì e avvisare tutti i dipendenti pre-2013 che i loro dati sono stati violati.

Non sto certamente cercando di tenere in ostaggio queste unità. Detto questo, essendo completamente onesto, se mi offrissero una "ricompensa" per averlo restituito, certamente accetterei. Ma non riconosceranno nemmeno questa situazione. Mi sto stancando di guardare questi dischi sulla mia scrivania. Stavo pensando di contattarli su Facebook, dato che è di gran moda in questi giorni quando si tratta di ottenere una risposta da un'azienda.

Se ci sono esperti di sicurezza qui, mi piacerebbe sapere cosa pensi di questa situazione.

Inoltre, proprio come ipotesi, NON lo farò. Ma sono curioso Dal momento che ho acquistato l'unità, e dal momento che non sono tornati da me, potrei gettare legalmente l'unità su ebay, e dire che il precedente proprietario non l'ha mai cancellato ed è pieno di ~ 150 GB di dati personali / professionali? E lascia che le persone abbozzate lo facciano per una pazza somma di denaro. Anche in questo caso, NON VERRAMO FARE QUESTO , mi sto solo chiedendo se potrei.

Non ho intenzione di dare un nome all'azienda pubblicamente. Ma ironicamente, sono una società "Branding" che lavora con altre grandi aziende. Che strano: P

    
posta l008com 24.11.2018 - 12:45
fonte

1 risposta

1

Per rispondere alla tua domanda: cosa devo fare?

Ci sono due modi per gestire questo:

1o modo:

  1. Distruggi le unità in modo sicuro.
  2. Scordatelo.

2nd way:

  1. Contatta la hotline generale durante l'orario lavorativo e chiedi il CISO (Chief Information Security Officer) o un proxy. Se non sono disponibili, richiedi il reparto compliance o, in questo caso, una persona responsabile della conformità. Se sei ancora sfortunato chiedi il dipartimento legale.

  2. Spiega loro la situazione. Dì loro che vuoi collaborare e che non hai copie delle unità. Prendi un appuntamento per consegnare le unità a loro.

  3. Speriamo per il meglio.

Il 2o modo può avere alcune ramificazioni indesiderate per te. Un sacco di aziende come spostare la colpa per la sicurezza non riesce a quelli che li rendono visibili. Se le unità sono state rubate, potresti - a seconda della situazione legale del tuo stato - diventare parte di un'indagine ufficiale di polizia. Anche la gestione e l'accesso ai beni rubati è illegale in alcuni luoghi, quindi parlare con un avvocato prima potrebbe essere una buona idea. Se le unità fossero disposte in modo disordinato, si rifletteranno ancora peggio sulla società in questione. È piuttosto probabile che ti scagliano contro. Dovresti prepararti per questo, se vai per la seconda strada.

Ma se fossi il CISO in questa compagnia, spero che tu andrai comunque per la seconda strada e la stragrande maggioranza delle persone che conosco che lavorano in infosec vorrebbero che tu facessi lo stesso. Perché solo le carenze come lo smaltimento errato dei dispositivi sono visibili alla gestione della sicurezza delle informazioni e solo allora i controlli esistenti possono essere rivisti e rimediati.

    
risposta data 24.11.2018 - 18:02
fonte

Leggi altre domande sui tag

Sono rintracciabile se la VPN che sto usando continua ad accendersi e spegnersi? Garantire l'integrità della chiave