近日,美国安全研究员David Leroy Ross(又名Connor Goodwolf)因分享俄亥俄州哥伦布市勒索软件攻击中被盗数据而被起诉。Goodwolf质疑市长关于数据泄露无价值的说法,并向媒体提供了包含哥伦布市居民未加密个人数据的样本。市政府认为Goodwolf的行为违法且疏忽,引起了社会广泛关注,并干扰了警方调查。哥伦布市提起诉讼,要求对Goodwolf发出临时限制令、初步禁令和永久禁令,以防止数据进一步传播,并索赔超过25,000美元。富兰克林县法官已发布临时限制令,禁止Goodwolf访问、下载和传播被盗数据,并要求保留已下载的数据。市检察官强调,诉讼旨在阻止传播被盗信息,而非压制言论自由。
起诉的背景
2024年7月18日,哥伦布市遭遇了一起严重的勒索软件攻击,攻击者使用了名为“RedRansom”的恶意软件,成功加密了市政府的数据系统。攻击者要求支付200万美元的赎金,而市政府决定拒绝支付,认为支付赎金会鼓励更多攻击。攻击者随后在2024年8月1日将未能出售的数据公开泄露,导致了大量敏感数据的外泄。
在数据泄露事件初期,哥伦布市政府对泄露的数据持谨慎态度。市政府发表声明称,正采取措施评估泄露数据的范围和潜在影响,并努力保护市民的隐私。市政府的初步反应包括与网络安全专家合作,监控泄露数据的流向,并通过媒体警告市民可能的风险。然而,随着泄露数据的传播,市政府发现数据泄露的影响远比预期严重,公众对数据泄露的关注和恐慌逐渐加剧。
8月8日,在勒索市政府失败后,威胁行为者公布了45%的被盗数据,包括 260,000个文件(3.1TB),揭露了他们之前声称持有的大部分数据。
在暗网上Rhysida敲诈勒索门户网站数据泄露当天,哥伦布市市长安德鲁·金瑟(Andrew Ginther)在当地媒体上表示,泄露的信息既没有价值,也没有用处,此次攻击已经被成功挫败。
研究人员Goodwolf随即对官方的这些说法提出异议,并向媒体分享了数据样本,以说明其中包含哥伦布市居民未加密的个人数据。
当Connor Goodwolf于2024年8月10日将有关泄露数据的信息提供给媒体时,市政府的态度迅速发生了变化。市政府认为,Goodwolf的行为不仅违反了数据保密协议,还可能加剧数据泄露的影响,尤其是因为媒体报道使泄露数据的情况变得更加公开。市政府随即决定对Connor Goodwolf提起诉讼,认为其行为是对公共利益的不负责任行为。
起诉的主要依据
市政府对Goodwolf的起诉,主要围绕以下几个核心问题展开:
起诉书指控Goodwolf在处理泄露数据时,未遵守与市政府签订的数据保密协议。这份协议明确禁止未经授权的公开和传播,Goodwolf的行为被视为违约。市政府还认为,Goodwolf将数据泄露信息提供给媒体,导致数据进一步传播,增加了对市民的风险,如身份盗窃和金融诈骗。
此外,市政府要求Goodwolf对数据泄露事件造成的经济损失负责。损失评估包括市政府声誉受损、公共信任下降以及潜在的经济损失,市政府估计这些损失可能高达500万美元。市政府的起诉不仅涉及对个人的财务赔偿,还可能导致对Goodwolf的法律和职业影响。
泄露数据的性质及可能影响
本次数据泄露事件涉及的数据类型及其可能影响如下:
泄露的数据包括个人敏感信息、政府内部文件和公共服务数据。具体来说,泄露的数据涵盖了约30,000名哥伦布市居民的个人身份信息、社会保障号码、财务记录等。这些信息的泄露可能导致身份盗窃、金融诈骗等严重后果。
政府内部文件的泄露,包括市政府的财务报告和政策文件,可能对政府决策和公共政策的实施产生负面影响。此外,公共服务数据的泄露可能导致公共安全和服务的有效性下降,如紧急服务调度的混乱。
数字组织的反应
数字权利组织和隐私保护团体对市政府的起诉持有不同的观点,并作出了以下反应:
首先,数字权利组织如“电子前哨基金会”(EFF)和“隐私权利组织”(EPIC)认为,Goodwolf将数据泄露信息分享给媒体,是为了引起公众对数据安全问题的重视,这种行为应当被视为对公共利益的保护。他们担心,市政府的诉讼可能会对新闻自由和言论自由产生负面影响。
其次,这些组织批评市政府在数据保护方面的不足,认为市政府应当加强数据保护措施,而不是将责任推给揭露数据泄露的人。组织们认为,数据保护责任应由数据持有者承担,而不是通过法律诉讼来解决。
最后,数字权利组织呼吁,数据泄露事件的处理应综合考虑法律和道德因素。他们建议,法律框架应更加注重平衡信息公开和数据保护之间的关系,以促进更加全面的解决方案。
对研究人员Goodwolf可能处罚
如果市政府的起诉成功,Goodwolf可能面临以下几种处罚:
民事赔偿:Goodwolf可能被要求支付市政府所要求的经济赔偿,预计金额可能达到2500美元。赔偿金额包括因数据泄露导致的声誉损害和其他经济损失。
法律制裁:市政府可能会要求法院对Goodwolf施加禁令,限制其未来对数据泄露的处理和公开行为。此外,Goodwolf可能面临罚款或其他法律制裁,具体取决于案件的审理结果。
职业影响:这一诉讼可能对Goodwolf的职业生涯产生深远影响。他可能面临职业声誉受损以及在网络安全领域的职业机会减少。
小结
哥伦布市数据泄露事件不仅揭示了数据保护的挑战,还引发了对研究人员法律责任的严峻讨论。以下是几点关键建议:
加强数据保护和响应机制:政府和企业应加强数据保护措施,建立更有效的事件响应机制,以减少数据泄露的风险和影响。
平衡信息公开和隐私保护:在处理数据泄露事件时,需要平衡公共利益与个人隐私保护,制定明确的法律框架,以指导如何合理公开信息。
保护研究人员的合法行为:在数据泄露事件中,研究人员的行为应受到保护,以鼓励更多的人揭示数据泄露真相,同时避免法律诉讼对其职业生涯的负面影响。
公众教育和意识提升:提高公众对数据泄露风险的认识和防范能力,以减少数据泄露事件对个人和社会的影响。
此案件的处理将对未来的数据泄露处理和信息公开政策产生深远影响,并对网络安全研究人员的法律和职业环境带来重要启示。
参考资源
-
https://www.bleepingcomputer.com/news/security/researcher-sued-for-sharing-data-stolen-by-ransomware-with-media/ -
https://www.nbc4i.com/news/local-news/columbus/devastating-stolen-columbus-data-leaked-by-ransomware-group-after-auction-gets-no-bids/ -
https://www.nbc4i.com/news/investigates/confirmed-columbus-data-leak-affects-residents-and-what-has-been-released/ -
https://www.nbc4i.com/news/investigates/columbus-whistleblower-lawsuit-violates-first-amendment-digital-rights-group-says/
原文始发于微信公众号(网空闲话plus):政府耍流氓起诉安全研究者!原因是与媒体分享了泄露数据
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论