it-swarm-es.com

El ex contratista publicó en línea el código fuente y los secretos

Acabo de encontrar mi código de empresa actual en Internet.

Estamos hablando de cientos de miles de líneas de scripts y configuraciones, incluidos esquemas de bases de datos y una buena cantidad de información interna. Parece un archivo de algunos proyectos, todos concatenados en un solo archivo.

No tuve tiempo de revisar todo todavía. La búsqueda rápida de bases de datos y credenciales expuestas apunta a otros archivos/funciones que faltan.

Este parece ser el sitio web personal de un contratista que trabajó aquí hace 5 años.

Editar 1 hora más tarde: se encontró información confidencial de todas las empresas para las que trabajó ese tipo en las últimas 2 décadas, principalmente F500: gran banco nacional, servicio postal, gran fabricante de productos electrónicos, electricidad general ...

Mezcla de código, configuración, notas y lo que parecen ser registros de entrada de consola. No tengo idea de por qué un chico se registraría a sí mismo y mucho menos lo publicaría en Internet, esto es realmente extraño.

Es un tesoro escondido. Hay referencias a todo tipo de componentes internos, a veces con nombre de usuario y contraseña. Acceso FTP a servidores de producción. El acceso SSH a Dios sabe qué, incluso con el número de token RSA que se usó una vez si estaba protegido por 2FA.

¿Qué se puede hacer al respecto y con quién contactar? Cyber? ¿Legal? FBI? ¿SEGUNDO? ¿Otro? ¿Alguna combinación de estos?

Estoy en el reino unido El contratista está en los Estados Unidos.

105
user5994461

Primero tome capturas de pantalla de lo que encuentre. Para los datos que son suyos, debe catalogarlos. Personalmente, lo descargaría para que tenga una referencia. Debe tomar capturas de pantalla de sus propios datos y evitar datos que no sean suyos. Asegúrate de incluir las URL. Documente eso de una manera que un abogado pueda entender. Es probable que esto se convierta en un problema legal, no un problema de TI. Digo "capturas de pantalla" porque eso no es ambiguo y los abogados entienden las capturas de pantalla.

Póngase en contacto con sus abogados internos, además de sus comunicados o personas de los medios. Necesitas poner esta brecha en su radar. Luego, los abogados deberán investigar el contrato comercial con el contratista, probablemente a través del equipo de administración de cuentas si trabaja para una empresa grande y antigua. Nadie en el liderazgo superior querrá averiguarlo a través de los IDS favoritos de todos: Twitter. Sus equipos de comunicación/relaciones públicas deberán tratar con cualquier mensaje que surja de esto. Su equipo ejecutivo puede necesitar involucrarse. Debería obtener orientación de su CIO a menos que sea el CIO, en cuyo caso me inclinaría a informar a las personas internamente.

Comprometerse con el oficial de protección de datos de su empresa. Ese puede ser el abogado. Ellos decidirán si la violación es GDPR/ICO notificable. Tiene que hacer esto rápidamente ya que tiene 72 horas para tomar la decisión desde el punto que conoce; eso incluye el fin de semana (nunca busques incidentes un viernes ...). Su DPO lo asesorará. Si usted es el DPO, es posible que desee contratar a un asesor legal externo de su empresa para confirmar sus decisiones.

Una vez que haya examinado los datos, podrá aconsejar cuántos sujetos de datos están afectados, si los hay. También podrá determinar si la violación de datos afecta a alguno de sus clientes, ya que puede tener la obligación contractual de informarles.

Póngase en contacto con la empresa de alojamiento. Si es algo así como GitHub, entonces pueden estar inclinados a jugar bien. Es posible que necesite que sus abogados les escriban como funcionarios de la empresa.

Póngase en contacto con el contratista, idealmente a través de su empresa contratada, y a través del abogado interno. Exigen que eliminen lo que hay allí.

Ahora puede comenzar a resolver el impacto material para su negocio. Credenciales, claves y otros tokens de autenticación necesitarán ser cambiados, espero.

Dependiendo del tamaño de su empresa, su apetito por el riesgo y el tamaño de su bolsillo, es posible que desee considerar la posibilidad de contratar una empresa de tipo forense para buscar datos similares. Sí, sé que es un poco de teatro de seguridad, pero si trabajas para una empresa FTSE100, entonces un informe con una insignia de auditoría Big4 que dice "no más problemas" es exactamente lo que necesitas si el basurero golpea el molino de viento. (Me sorprende lo que veo que las grandes empresas gastan en informes como, por supuesto, a menudo se considera que lo mismo de una persona interna cuenta poco).

No estoy seguro de los datos que no son suyos. Si comienza a tratar de interactuar con terceros, es probable que se le pregunte qué datos ha obtenido de ellos y están obligados a pedirle que confirme que los datos que ha tomado se han eliminado. Personalmente, me inclinaría a ignorar cualquier dato que no sea mío. Es posible que desee hacer una divulgación a quien piense que es el propietario de los datos, enteramente de usted.

Mencionas keylog; Si se pregunta por qué una persona podría tener un registrador de pulsaciones de teclas en su propia PC, entonces, para ser generoso, podría estar usándolo como una simple copia de seguridad de lo que escribe. Conozco personas que han hecho eso.

Aparte: Finalmente, como observación tangencial, lo que has encontrado no es tan raro. La gente almacena todo tipo de basura; por ejemplo, las personas vinculan el almacenamiento de datos de su hogar a Internet a través de FTP: realizamos evaluaciones periódicas de dichos datos que contienen las cadenas de nuestra empresa.

82
Unicorn Tears

Por lo general, desea ponerse en contacto con la empresa de alojamiento para eliminarlo y mantener todos los datos y registros bajo una retención legal.

También puede comunicarse con las otras empresas afectadas.

Legalmente, deberá comunicarse con un abogado y la policía en su jurisdicción.

25
schroeder

No hay que decirlo, pero asegúrese de que esas credenciales de inicio de sesión no funcionen en su sistema. Si no se desactivaron cuando dejó su organización (cuando deberían haberlo hecho), querrá auditar sus registros de acceso para asegurarse de que no se hayan utilizado desde que se fue, si estaban en un sitio web público donde cualquiera podría encontrarlos, debe suponer que alguien los ha probado.

Mantenga un registro cuidadoso de todo lo que está encontrando, incluidos detalles como cuándo y cómo lo está encontrando. La policía querrá saberlo. Es posible que tenga que testificar en la corte sobre esto algún día, incluso si su compañía no demanda, las otras compañías podrían hacerlo, y se verá más profesional si tiene todos los detalles listos cuando lo llamen como testigo.

19
user3583489

Si usted es un miembro regular del personal de la compañía, su escalamiento correcto debe ser a través del equipo de Infosec, y recurrir a los departamentos Legal y de TI si su compañía no es lo suficientemente grande como para tener un equipo de Infosec dedicado. También copiaría HR en cualquier comunicación.

Este es un escenario extremadamente serio. Si no sabe qué hacer (y el hecho de que está pidiendo consejos con sensatez en Stack Exchange demuestra que no lo hace), entonces debe pasar esto a los equipos dentro de su empresa que sí lo hacen.

No intente hacer nada fuera de la empresa usted mismo.

Proporcione a sus equipos de Infosec/IT/Legal las URL de la información alojada en ese sitio.

Si ha descargado información relacionada con otras compañías, elimínela. Es información confidencial que no debe poseer. En su lugar, deje que sus equipos de Infosec/IT/Legal se contacten con las otras compañías a título oficial.

17
Roger Lucas

Para eliminarlo, puede pedirle a un abogado de los EE. UU. Que emita un aviso de eliminación de DMCA al proveedor de alojamiento, afirmando que es el propietario del contenido y que no ha dado su consentimiento para que se distribuya; esto debería tener una reacción inmediata si el proveedor de alojamiento cumple con los avisos de DMCA , a lo que el contratista puede responder.

7
Moo

He estado en una situación similar. Me puse en contacto con mi jefe y el propietario de inmediato (solo teníamos 25 personas). El propietario manejó todo, pero me pidió que estuviera disponible para una llamada telefónica. Como esto involucraba a un contratista del Departamento de Defensa en los Estados Unidos, era una responsabilidad del Departamento de Defensa. Nunca nos dijeron el resultado.

Permita que el propietario/director de operaciones/asesor corporativo se comunique con la policía.

La policía de los Estados Unidos ama atrapar a las personas por perjurio. Siempre tenga el consejo de un abogado y un abogado presente cuando hable con la policía.

Deje que los abogados manejen cualquier captura de pantalla.

Permita que la policía notifique a otras entidades que su información confidencial se ha filtrado.

2
Daisuke Aramaki

Esta es una adición a la otra respuesta desde arriba (actualmente). Entiendo que ya han pasado 3 días y no veremos una respuesta de OP, pero sugiero encarecidamente a cualquiera que les pase esto que consideren lo siguiente.

Comprenda cómo ocurren generalmente las filtraciones de datos: los contratistas externos son el objetivo primero. Le diré que incluso el actor de amenazas más bajo pero serio tiene la capacidad de recopilar enormes cantidades de datos sobre su empresa, contratistas y sus componentes internos para que se sepa quiénes son los contratistas. Puede que no lo creas, pero el software de recursos humanos que tu empresa usa para administrar a sus empleados es más vulnerable que un gato indefenso acorralado por 10 lobos.

Muchas veces, estos contratistas no toman en serio la seguridad y son mucho más fáciles de penetrar que la propia empresa, lo que podría haber reforzado las defensas. Piénselo de esta manera: ¿por qué pasar por las defensas de la compañía principal cuando puede ir tras sus contratistas o empleados de bajo nivel que no tienen idea de la seguridad?

Por poder, conozco un caso en el que toda la división de investigación de un país que estaba compuesta por universidades, el departamento de defensa y otros tenían varios servidores donde cargaban "resultados de investigación y esquemas". Había un profesor que tenía un viejo servidor de chat que era muy abusivo. Entraron en la red de investigación bastante robusta a través del servidor de chat de ese tipo después de pinchar a través de cerca de una docena de computadoras antes de ir allí.

Es posible que tenga un caso de un contratista siendo pirateado. Las personas que se meterían en la cárcel de esta manera y arruinarían sus vidas son muy, muy raras y muchas veces enfermos mentales. Estadísticamente hablando, no hay forma de que lo haya hecho él mismo y, por el contrario, significa que alguien más filtró la información para perjudicar a la empresa principal. Es solo un peón.

También insinuó que esta es una gran posibilidad con "¿por qué se registraría él mismo?". Nadie hace eso. También dijo que vio vertederos de registros y tokens que se usaban una sola vez. ¿Quién crees que podría estar buscando estos cuando piensas en el contratista, un pirata informático dirigido a la empresa a través de este contratista y la empresa?

Algo huele mal aquí.

Como decía la respuesta principal, acude a un abogado, pero no vayas de mala fe.

1
coolpasta

Primero, le sugerimos que cambie las credenciales de todo lo que sabe. Hay piratas informáticos que aman este tipo de datos y los utilizan para su propio uso, como ciberataques, rescate, etc.

Al mismo tiempo, inicie la queja para eliminar el sitio y detener la difusión de datos en Internet.

Estos son importantes Primero proteja su negocio. Más tarde puede ir a procedimientos legales sobre la persona.

0
Mahesh V