【安全头条】白帽变“黑帽”?提报数据泄露惹官司

第75期

你好呀~欢迎来到“安全头条”!如果你是第一次光顾,可以先阅读站内公告了解我们哦。

【安全头条公告】

安全头条主要发布时下最火热最新鲜的网安资讯,不同于正儿八经的权威消息。本站的资讯内容可能会更富趣味性、讨论性,工作劳累之余给大家来点趣闻,唠唠嗑,也可以一起充电涨姿势~目前每周二、周四营业。

欢迎各位新老顾客前来拜访,在文章底部时常交流、疯狂讨论,都是小安欢迎哒~如果对本小站的内容还有更多建议,也欢迎底部提出建议哦!

 

白帽变“黑帽”?提报数据泄露惹官司

前不久,英国白帽子 Rob Dyke 向非营利组织 Apperta 上报了一起数据泄露事件,然而看似寻常的威胁提报,却让Rob Dyke陷入了法律纠纷。

Apperta 基金会,由英国国家医疗服务系统 ( NHS ) NHS 公司 ( NHS Digital ) 发起成立,致力于在数字医疗和社会护理领域推广相关标准的非盈利组织。

l  事起 GitHub,提报数据泄露

月初,白帽子Rob Dyke GitHub 上发现了一个存储着 Apperta 基金会的密码、API 密钥和财务信息的仓库,遂向Apperta 基金会报告该事件,并得到了 Apperta 基金会的致谢。

39日,白帽子Rob Dyke不仅收到了律师函,还收到了警方邮件,称其涉嫌“计算机滥用”等罪名。

l  倒打一耙OR法规问题?

Apperta基金会律师称,Apperta 认为 Rob Dyke 的行为是非法的,并且要求他承诺删除相关所有数据。警方也称Rob Dyke涉嫌“计算机滥用”相关罪名。

对此,Rob Dyke则表示,他发现的数据在 GitHub 上已公开两年多时间,且并非通过非法攻击行动所得。之所以进行提报,也是因为曾与Apperta 基金会有过合作,且熟悉安全漏洞提报的行业惯例。

从法规上来看,英国1990年颁布的《计算机滥用法案》中,的确将报告数据泄露事件视为违法行为。只不过在2021年,提报安全问题已成为行业惯例的的今天,这样的法规却成为吓走白帽,束缚安全建设的制约。

 

金盆洗手散千金,勒索软件竟靠“中间商”赚差价

夭寿啦!勒索软件退钱啦!

今年2月,勒索软件Ziggy宣布退隐江湖并好心留下解密密钥。来到3月,勒索软件Ziggy幕后管理员再次宣布将退还受害者赎金。

最新消息显示,勒索软件Ziggy团伙称,受害者可通过给定的电子邮件地址(ziggyransomware@secmail.pro)与管理员联系,并用比特币和计算机 ID 证明付款,这笔钱将在大约两周内退还到受害者的比特币钱包。

退还赎金依然获利。常规认知里,退钱可能意味着分文未取,但在用比特币交易的勒索圈,却另当别论。2月,勒索软件Ziggy公布解密密钥时,比特币价格约为3.9万美元,而在幕后团队宣布退钱时,比特币价格已飙升至6.1万美元。按当前比特币市值退钱的话,勒索软件Ziggy运营团队将大赚一笔不菲的“中间商差价”。

可以说,勒索软件Ziggy运营团队不仅是圈内首个退圈退钱的“良心”恶人,还是圈内又一个上演“羊毛出在猪身上”的新典范。

 

勒索软件攻击后,FatFace公司竟要求用户保密

前不久,英国服装品牌FatFace不幸遭遇勒索软件攻击。不仅导致客户姓名、电子邮件地址、邮寄地址、部分信用卡信息(卡号后四位数字和有效期)等客户数据泄露,攻击者可访问FatFace网络系统并访问客户数据。

事后,服装品牌FatFace像多数遭遇勒索攻击的企业一样,向用户发送了事件告知邮件。引发争议的是,邮件中FatFace告知客户“请务必对此电子邮件及其中包含的信息严格保密和保密”。

此举,可谓开行业先河。外媒BleepingComputer直言,从未见过一家公司要求用户对数据泄露保密,且企业方无权向用户提出这一请求。事件一经披露,也在Twitter引起了网友的热议。

如果你是被泄露个人数据的FatFace客户,你会选择为品牌方保密吗?

(完)