Descubrí la enorme brecha de datos de otra persona, ¿qué debo hacer?

1

Compré un viejo Apple Xserve en eBay. El vendedor era un revendedor de computadoras usadas, no el propietario original del servidor / datos. Los discos duros del servidor fueron borrados y no tenían sistema operativo en ellos, pero sí tenían una carpeta con nombre impar.

Resulta que la carpeta contiene todos los datos financieros y de recursos humanos para una gran empresa de 100 a 200 personas. Tiene TODO lo que puedas esperar NO filtrar. Números de seguridad social, nombres, direcciones, números, salarios, información de contacto de emergencia, incluso fotos del personal. Incluso tenía los W-9 de sus contratistas independientes. Esto duele ya que soy un contratista independiente y le he dado mis W-9 a muchas compañías. Quién sabe qué tan bien esas empresas protegen los datos de mis . (Los W-9 a menudo tienen números de seguridad social en ellos)

Todos los archivos tenían fechas de 2012 y anteriores. Compré el servidor / la unidad a principios de 2018. Entonces, durante 6 años, quién sabe dónde estaban estos datos. Pero el 2012 es cuando salió de servicio. Además, el servidor era un Xserve 2009, pero el soporte de la unidad era de un G5 (2005) Xserve. Lo que significa que es bastante probable que esta unidad no venga con este servidor. Si este interruptor se realizó en la compañía, o si el revendedor simplemente tomó cajas de unidades y las pegó en cualquier computadora que las necesitara, quién sabe.

Reemplazé las unidades por otras nuevas, lo cual iba a hacer de todos modos, y ahora el servidor está apagado para mí. Pero los discos originales están sentados en mi escritorio. Todavía no sé qué hacer con ellos. Intenté contactarme con la compañía dos veces, pero nunca volví a tener noticias.

Si escucho la respuesta, sospecho que lo que harán es decirme que los destruya o que me los envíe y luego los destruirán ... y no harán nada más. Lo que DEBEN estar haciendo es despedir a su departamento de TI de 2012 si alguno de ellos aún trabaja allí, y notificar a todos los empleados anteriores a 2013 que sus datos han sido violados.

Ciertamente no estoy tratando de mantener estas unidades como rehenes. Dicho esto, siendo completamente honesto, si me ofrecieran una "recompensa" por devolverlo, sin duda lo aceptaría. Pero ni siquiera reconocerán esta situación. Me estoy cansando de mirar estos discos en mi escritorio. Estaba pensando en contactarlos en Facebook, ya que eso es lo último en estos días cuando se trata de obtener una respuesta de una empresa.

Si hay expertos en seguridad aquí, me encantaría saber qué piensa acerca de esta situación.

También, como hipotético, NO voy a hacer esto. Pero tengo curiosidad. Desde que compré el disco, y como no me están devolviendo la llamada, ¿podría legalmente devolver el disco a eBay y decir que el propietario anterior nunca lo borró y está lleno de ~ 150GB de datos personales / profesionales? Y deja que la gente imprecisa le ofrezca una cantidad de dinero loca. Una vez más, NO VA A HACER ESTO , solo me pregunto si podría hacerlo.

No voy a nombrar a la empresa públicamente. Pero son irónicamente, una compañía de "marca" que trabaja con otras compañías muy grandes. Qué gracioso es eso: P

    
pregunta l008com 24.11.2018 - 12:45
fuente

1 respuesta

1

Para responder a tu pregunta: ¿qué debo hacer?

Hay dos maneras de manejar esto:

1ª vía:

  1. Destruye las unidades de forma segura.
  2. Olvídate de eso.

2ª vía:

  1. Comuníquese con la línea directa general durante el horario comercial y solicite el CISO (Director de Seguridad de la Información) o un representante. Si no están disponibles, solicite el departamento de cumplimiento o, en este caso, probablemente una persona a cargo del cumplimiento. Si aún no tiene suerte, pregunte por el departamento legal.

  2. Explícales la situación a ellos. Dígales que desea cooperar y que no tiene ninguna copia de las unidades. Haga una cita para entregarles los discos.

  3. Espero lo mejor.

La segunda forma puede tener algunas ramificaciones no deseadas para ti. A muchas empresas les gusta echar la culpa de la seguridad a quienes las hacen visibles. Si le robaron los discos, usted podría, dependiendo de la situación legal de su estado, formar parte de una investigación oficial de la ley. Manejar y acceder a los bienes robados también es ilegal en algunos lugares, por lo que hablar con un abogado puede ser una buena idea. Si los discos se dispusieron de forma desordenada, se reflejará aún peor en la empresa en cuestión. Es algo probable que te atacen. Debes prepararte para eso, si vas por la segunda vía.

Pero: si fuera el CISO en esta empresa, espero que, sin embargo, opte por la segunda vía y la gran mayoría de las personas que conozco que trabajan en infosec querrían que usted hiciera lo mismo. Porque solo entonces las deficiencias, como la eliminación incorrecta de los dispositivos, son visibles para la administración de la seguridad de la información y solo entonces los controles existentes pueden revisarse y remediarse.

    
respondido por el Tom K. 24.11.2018 - 18:02
fuente

Lea otras preguntas en las etiquetas