GitHub存储库泄露了密码、密钥和数据库

就在这个星期，一位名叫Rob Dyke的英国云安全工程师公开讲述了一次负责任的数据时间披露是如何让他陷入法律困境的。

本月早些时候，Dyke发现了一个公开的GitHub存储库，它泄露了属于Apperta基金会的密码、API密钥和敏感财务记录。

在发现这个GitHub存储库时，Dyke表示，这个存储库至少从2019年就暴露在外网了，工程师私下向Apperta报告了这一点，并得到了他们的感谢。

然而，在3月9日，他收到了上诉律师的法律信函，导致他不得不聘请自己的律师来代表他处理这件事情。

除此之外，他还收到了一封来自诺森布里亚警方一名网络调查员的电子邮件，其中的内容涉及到关于“滥用计算机设备”的控诉。

在接受BleepingComputer的电话采访时，Dyke表示，他此前也曾与Apperta合作过，作为目前在IT部门工作的人，他非常熟悉Apperta的既定机制以及向供应商负责报告安全漏洞的行业做法。

当他发现数据泄露时，Dyke立即向Apperta报告了相关事件详情。

然而，为了记录他所报告的内容，研究人员对他遇到的数据进行了加密，并将其安全地存储了90天，这也是作为协调披露过程的一部分。

Dyke在接受采访时说到：“我知道该怎么向他们报告。因此，我通过他们既定的程序向他们报告了此事，我当时也收到了他们的回复，他们向我表示了感谢，并承诺会立刻解决相关问题。之后我就再也没去想这些问题了…”

但是，一个多星期之后，Dyke收到了Apperta的律师发来的一封信，并声称Dyke的行为是“非法行为”，然后要求其书面承诺删除Dyke查看过的任何数据。

这件事情让Dyke非常的惊讶，尤其是考虑到他曾为Apperta工作过，而且Apperta团队里面有很多人还认识他。

在BleepingComputer看到的电子邮件中，Dyke进一步向Apperta的律师澄清，他所看到的信息已经在GitHub上公开泄露了两年多，并不是作为非法黑客活动的一部分而获得的专有数据。