web-dev-qa-db-fra.com

Ex-entrepreneur a publié le code source de l'entreprise et ses secrets en ligne

Je viens de trouver mon code d'entreprise actuel sur Internet.

Nous parlons de centaines de milliers de lignes de scripts et de configurations, y compris des schémas de base de données et une bonne quantité d'informations internes. On dirait une archive de certains projets, tous concaténés en un seul fichier.

Je n'ai pas encore eu le temps de tout parcourir. La recherche rapide des bases de données et des informations d'identification exposées fait allusion à d'autres fichiers/fonctions manquants.

Cela semble être le site Web personnel d'un entrepreneur qui a travaillé ici il y a 5 ans.

Edit 1 heure plus tard: Trouvé des informations sensibles de toutes les entreprises pour lesquelles ce type a travaillé au cours des 2 dernières décennies, principalement F500: grande banque nationale, service postal, grand fabricant d'électronique, général électrique ...

Mélange de code, configuration, notes et ce qui semble être des journaux d'entrée de console. Aucune idée pourquoi un gars se serait lui-même keylog et encore moins le publier sur Internet, c'est vraiment étrange.

C'est un trésor. Il y a des références à toutes sortes d'internes avec parfois nom d'utilisateur et mot de passe. Accès FTP aux serveurs de production. L'accès SSH à Dieu sait quoi, même avec le numéro de jeton RSA unique utilisé s'il était protégé par 2FA.

Que peut-on faire à ce sujet et qui contacter? Cyber? Légal? FBI? SECONDE? Autre? Une combinaison de ceux-ci?

Je suis au Royaume-Uni. L'entrepreneur est aux États-Unis.

105
user5994461

Prenez d'abord des captures d'écran de ce que vous trouvez. Pour les données qui vous appartiennent, vous devez les cataloguer. Personnellement, je le téléchargerais pour avoir une référence. Vous devez prendre des captures d'écran de vos propres données et éviter les données qui ne vous appartiennent pas. Assurez-vous d'inclure les URL. Documentez-les d'une manière qu'un avocat peut comprendre. Cela risque de devenir un problème juridique et non un problème informatique. Je dis "captures d'écran" parce que cela ne fait aucun doute et les avocats comprennent les captures d'écran.

Contactez vos avocats internes, ainsi que vos personnes chargées des communications ou des médias. Vous devez mettre cette brèche sur leur radar. Les avocats devront ensuite examiner le contrat commercial avec le contractant, probablement via l'équipe de gestion des comptes si vous travaillez pour une grande entreprise ancienne. Personne dans la haute direction ne voudra en savoir plus sur l'IDS préférée de tout le monde: Twitter. Vos équipes de communication/relations publiques devront traiter tous les messages qui en découlent. Votre équipe de direction peut avoir besoin d'être impliquée. Vous devriez obtenir des conseils de votre CIO à moins que vous soyez le CIO, auquel cas je serais enclin à informer les gens en interne.

Communiquez avec le délégué à la protection des données de votre entreprise. C'est peut-être l'avocat. Ils décideront si la violation doit être notifiée GDPR/ICO. Vous devez le faire rapidement car vous avez 72 heures pour prendre la décision à partir du moment où vous en êtes conscient; cela inclut le week-end (ne cherchez jamais des incidents un vendredi…). Votre DPO vous conseillera. Si vous êtes le DPD, vous pouvez demander à un conseiller juridique externe de votre entreprise de confirmer vos décisions.

Une fois que vous aurez examiné les données, vous pourrez indiquer le nombre de personnes concernées, le cas échéant. Vous pourrez également déterminer si la violation de données affecte l'un de vos clients, car vous pouvez avoir une obligation contractuelle de les informer.

Contactez la société d'hébergement. Si c'est quelque chose comme GitHub, ils peuvent être enclins à jouer correctement. Vous devrez peut-être demander à vos avocats de leur écrire en tant que dirigeants de l'entreprise.

Contactez l'entrepreneur, idéalement via leur entreprise sous contrat, et via l'avocat interne. Exigez qu'ils retirent ce qui existe.

Vous pouvez maintenant commencer à déterminer l'impact matériel sur votre entreprise. Les informations d'identification, les clés et autres jetons d'authentification devront être modifiés, je pense.

Selon la taille de votre entreprise, votre appétit pour le risque et la taille de votre poche, vous voudrez peut-être envisager de faire appel à une entreprise de type médico-légal pour partir à la recherche de données similaires. Oui, je sais que c'est un peu un théâtre de sécurité, mais si vous travaillez pour une entreprise FTSE100, alors un rapport avec un badge d'audit Big4 disant "plus de problèmes" est exactement ce dont vous avez besoin si le midden frappe le moulin à vent. (Je suis étonné de ce que je vois que les grandes entreprises dépensent pour des rapports tels que, bien sûr, la même chose d'une personne interne est souvent considérée comme comptant peu).

Je ne suis pas sûr des données qui ne vous appartiennent pas. Si vous commencez à essayer de vous engager avec des tiers, il vous sera forcément demandé quelles données vous avez obtenues d'eux et ils seront tenus de vous demander de confirmer que toutes les données que vous avez prises ont été supprimées. Personnellement, je serais enclin à ignorer toutes les données qui ne sont pas les miennes. Vous voudrez peut-être divulguer à qui vous pensez être le propriétaire des données, entièrement à vous.

Vous mentionnez le keylog; si vous vous demandez pourquoi un individu peut avoir un enregistreur de frappe sur son propre PC, alors pour être généreux, il peut l'utiliser comme une simple sauvegarde de ce qu'il tape. Je connais des gens qui l'ont fait.

À part: Enfin, comme observation tangentielle, ce que vous avez trouvé n'est pas si rare. Les gens stockent toutes sortes de déchets; par exemple, les gens lient leur stockage de données à domicile à Internet via FTP: nous effectuons des évaluations régulières pour ces données qui contiennent les chaînes de notre entreprise.

82
Unicorn Tears

Vous souhaitez généralement contacter la société d'hébergement pour le retirer et conserver toutes les données et les journaux sous une suspension légale.

Vous pouvez également contacter les autres sociétés concernées.

Légalement, vous devrez contacter un avocat et les forces de l'ordre de votre juridiction.

25
schroeder

Cela devrait aller de soi, mais assurez-vous que ces informations de connexion ne fonctionnent pas sur votre système. S'ils n'ont pas été désactivés lorsqu'il a quitté votre organisation (alors qu'ils auraient dû l'être), vous voudrez vérifier vos journaux d'accès pour vous assurer qu'ils n'ont pas été utilisés depuis son départ - s'ils étaient sur un site Web public où n'importe qui pourrait les trouver, vous devez supposer que quelqu'un les a essayés.

Gardez un journal attentif de tout ce que vous trouvez, y compris des détails comme quand et comment vous le trouvez. Les forces de l'ordre voudront savoir. Vous devrez peut-être un jour témoigner devant le tribunal à ce sujet - même si votre entreprise ne poursuit pas, les autres sociétés le pourraient, et vous aurez l'air plus professionnel si vous avez tous les détails à portée de main quand ils vous appellent comme témoin.

19
user3583489

Si vous êtes un membre régulier du personnel de l'entreprise, votre escalade correcte devrait passer par l'équipe Infosec et se tourner vers les services juridiques et informatiques si votre entreprise n'est pas assez grande pour disposer d'une équipe Infosec dédiée. Je copierais également les RH sur toute communication.

Il s'agit d'un scénario extrêmement grave. Si vous ne savez pas quoi faire (et le fait que vous demandiez très judicieusement des conseils sur Stack Exchange montre que vous ne le faites pas), vous devez le transmettre aux équipes de votre entreprise qui le font.

N'essayez pas de faire quoi que ce soit en dehors de l'entreprise par vous-même.

Fournissez à vos équipes Infosec/IT/Legal les URL des informations hébergées sur ce site.

Si vous avez téléchargé des informations concernant d'autres sociétés, supprimez-les. Il s'agit d'informations confidentielles dont vous ne devriez pas être en possession. Au lieu de cela, laissez vos équipes Infosec/IT/Legal contacter les autres sociétés à titre officiel.

17
Roger Lucas

Pour le retirer, vous pourriez demander à un avocat américain d'émettre un avis de retrait DMCA au fournisseur d'hébergement, affirmant que vous êtes propriétaire du contenu et que vous n'avez pas consenti à sa distribution - cela devrait obtenir une réaction immédiate si le fournisseur d'hébergement honore les avis DMCA , auquel le contractant peut répondre.

7
Moo

J'ai été dans une situation similaire. J'ai contacté mon patron et le propriétaire immédiatement (nous n'avions que 25 personnes). Le propriétaire s'est occupé de tout, mais il m'a demandé d'être disponible pour un appel téléphonique. Comme cela impliquait un entrepreneur du DOD aux États-Unis, c'était une responsabilité du DOD. On ne nous a jamais dit le résultat.

Laissez le propriétaire/le directeur de l'exploitation/l'avocat de l'entreprise contacter les forces de l'ordre.

Les forces de l'ordre américaines aiment piéger les gens pour parjure. Ayez toujours les conseils d'un avocat et un avocat présent lorsque vous parlez aux forces de l'ordre.

Laissez les avocats gérer les captures d'écran.

Laissez l'application de la loi informer d'autres entités que leurs informations sensibles ont été divulguées.

2
Daisuke Aramaki

Ceci est un ajout à l'autre réponse du haut (actuellement). Je comprends que cela fait déjà 3 jours et nous ne verrons pas de réponse d'OP, mais je suggère fortement à tous ceux qui voudront que cela leur arrive de considérer ce qui suit.

Comprenez comment les fuites de données se produisent généralement: les sous-traitants tiers sont ciblés en premier. Je vous dirai que même l'acteur de menace le plus faible mais le plus sérieux a la capacité de rassembler d'immenses quantités de données sur votre entreprise, ses sous-traitants et ses internes afin de savoir qui sont les sous-traitants. Vous ne le croyez peut-être pas, mais les logiciels RH que votre entreprise utilise pour gérer ses employés sont plus vulnérables qu'un chat sans défense acculé par 10 loups.

Souvent, ces entrepreneurs ne sont pas sérieux au sujet de la sécurité et sont beaucoup plus faciles à pénétrer que l'entreprise elle-même, qui aurait pu renforcer les défenses. Pensez-y de cette façon - pourquoi passer par les défenses de l'entreprise principale lorsque vous pouvez poursuivre ses sous-traitants ou ses employés de bas niveau qui n'ont aucune idée de la sécurité?

Par procuration, je connais un cas où toute la division de recherche d'un pays, composée d'universités, du département de la défense et d'autres, avait plusieurs serveurs sur lesquels ils téléchargeaient "les résultats de la recherche et les schémas". Il y avait un professeur qui avait un vieux serveur de chat très abusif. Ils sont entrés dans le réseau de recherche assez costaud via le serveur de discussion de ce type après avoir flippé près d'une douzaine d'ordinateurs avant d'y aller.

Vous pourriez avoir le cas d'un entrepreneur piraté. Les gens qui se retrouveraient en prison comme ça et verraient leur vie ruinée sont très, très rares et souvent malades mentaux. Statistiquement parlant, il n'a aucun moyen de le faire lui-même et en revanche, cela signifie que quelqu'un d'autre a divulgué les informations pour nuire à l'entreprise principale. Ce n'est qu'un pion.

Vous avez également laissé entendre que c'était une possibilité forte avec "pourquoi aurait-il lui-même un keylog?". Personne ne fait ça. Vous avez également dit avoir vu des décharges de journaux et de jetons à usage unique. Selon vous, qui pourrait les rechercher lorsque vous pensez à l'entrepreneur, un pirate informatique ciblant l'entreprise par l'intermédiaire de cet entrepreneur et de l'entreprise?

Quelque chose sent mauvais ici.

Comme l'a dit la réponse la plus fréquente, allez voir un avocat, mais n'allez pas de mauvaise foi.

1
coolpasta

Tout d'abord, vous suggérons de modifier les informations d'identification de tout ce que vous savez. Il y a des pirates qui aiment ce type de données et les utilisent pour leur propre usage comme la cyberattaque, les rançons, etc.

En même temps, initiez la plainte pour supprimer le site et arrêter la diffusion de données sur Internet.

Ce sont importants. Protégez d'abord votre entreprise. Plus tard, vous pouvez engager des poursuites judiciaires contre la personne.

0
Mahesh V