最近作了場"惡夢",夢中有些與資訊相關的法務問題向各位先進請教。
先節錄要點給怕囉嗦的網友,想更進一步瞭解詳情的請再往下看。
我使用臺灣網路資訊中心提供的公開、免費的DNS檢測工具
https://rs.twnic.net.tw/cgi-bin/dns.cgi
查詢第三方網域相關資訊,被網域擁有方投訴任職單位總部,並揚言提告。
縱使向己方總部說明,並展示經濟部的《商工登記公示資料查詢服務》
https://findbiz.nat.gov.tw/fts/query/QueryBar/queryInit.do
以及財政部的《稅籍登記資料公示查詢》
https://www.etax.nat.gov.tw/etwmain/online-service/publicity-inquiry/taxation-registration
作為範例來說明,但仍不為接受,要求部門主管作懲處。
● 楔子
年節過後,與山上的老朋友在網路閒談。聊著聊著聊到高歌"驛動的心",突然
告知我山上前陣子網路問題不斷,現任資訊一直無法徹底解決,上頭已開缺找
人,問我有無意願。
● 序曲
聽完他說明狀況,對問題心中已有想法,但尚待一些相關依據證實。就在臨下
班前又收到他傳來的詢問的訊息,正巧手頭上工作結朿也沒什麼事,開始我的
驗證。
● 引火
就先從外部驗證開始,利用了臺灣網路資訊中心提供的免費的DNS檢測工具
https://rs.twnic.net.tw/cgi-bin/dns.cgi
把骨友單位的網域填入並送出,得到結果也算不上什麼大問題,可的確有些小
瑕庛,就善意發函提醒對方。由於當時已逾對方下班時段,手上也無對方的連
絡方式,就用了對方的人資連絡資料。這邊我犯了一個關鍵疏失....使用我在
單位的公務郵箱發信。信件如圖一(因應法規,隱去部份)。
● 焚身
隔了幾天,部門主管忽然詢問我是否發信到總部?本想該不會上班時段用公務
電腦找工作被發現了,只得老實承認。隔天,主管有點氣急敗壞帶著另位涉外
部門主管找我問罪。說是總部通知,有外面人士向總部投訴,指稱我擅自侵犯
他人公司網路,要提告我們單位。並拿出圖一那封信,問是不是我寄發的?
經過進一步瞭解,對方根據信箱網域先來函確認我是否為單位員工,再附上圖
一信函投訴我侵犯他們公司網路,要提告我們單位。
頓時百感交集,我善意提醒卻遭「狗咬呂洞賓」。立即跟涉外部門主管解釋,
這只是運用半官方的臺灣網路資訊中心所提供的,公開、免費便民服務的 DNS
檢測工具查詢網域相關資訊,並無入侵網路的犯罪行為。就像財政部的《稅籍
登記資料公示查詢》或者經濟部的《商工登記公示資料查詢服務》。
反正她就是不接受,要求部門主管作懲處並回報。
部門主管雖理解我的說明,可訓誡我:「把自己事情作好就好,管別人家的事
幹嘛?還沒事去挑釁人家,你想展示自己多厲害嗎?」並要求我寫份報告回覆
總部。
仔細想想也是啦!!善意提醒不過是我一廂情願的想法,對方可未必這樣認為,
特別是對方單位已開出相關職缺...。
好吧!!自己活該,怨不得人。不知白帽駭客如何想?
● 後記
由於法令相關規範,不便進入對方內部網路檢測。找了一些網路文章給山上的
朋友,請他自行處理。後續告知有一些設備IP是 172.10.X.X 網段,使用內部
DNS 主機。有些設備IP是 172.16.X.X 網段,使用 DNS 是 168.95.1.1 ...。
心裏有譜了,我救不了...呵呵呵。
《論語.陽貨》「唯女子與小人難養也,近之則不遜,遠之則怨。」。
已邀請的邦友 {{ invite_list.length }}/5
白帽駭客在進行任何弱點檢測手段之前, 都需事先經由目標單位的同意並簽下NDA.
之前就有白帽駭客未經我司同意就檢測,這應該就是犯法
未經我司同意就檢測
這已經是灰/黑帽的行為, 不能叫白帽了. 白帽一定都要事先簽好 NDA, 或者企業本身就已經有預授權(例如:已經設立漏洞獎金制度, 或公告漏洞檢測與通報的方法)
說實話,白帽成長就是要有環境練手,有灰帽經歷,幾乎是必經的路,更別說以前沒有這麼多完善的練手環境,重要的願意回報與否,要較真灰帽白帽的稱呼,有幾個是真的完全乾淨的呢?
法律上每一個案件都是分別獨立看待, 依個案的涉案證據來論定, 所以跟: 你過去是甚麼身分? vs 現在是甚麼身分? 兩者沒有關連, 不會因為過去做過 OOXX, 現在就認定你為 YYZZ;
法律上只看:你在眼前這個案件裡面, 是意圖用甚麼身分和手段去行動?
知名的黑帽轉白帽案例: Kevin Mitnick, 陳盈豪, 張啟元...等等
白帽不小心變黑帽案例: 2017年資通電軍漢光33號演習事件
我再一次看了你的文章,從你的標題到你的內文。
我發現你根本就不認為自己有問題。
你朋友跟你反應他公司網路有問題,然而你不找你朋友,直接找上他公司?
直接找上他公司就算了,用的還不是自己的信箱是你公司的信箱?
最後的最後,你還引用論語?
你把你自己的謎之操作引發的後果,歸咎於對方是個難養的女子或小人???
你認為你的問題無傷大雅,是對方小題大作,WTF?
我只能說,我希望對方勝訴,以杜絕這種莫名其妙的行為。
同為資訊相關從業人員我們應該要互相幫忙,所以以下發言僅為我個人的看法,希望彼此砥礪求進步,希望所有的事圓滿~~
對方公司上層對現任資訊人員不滿,也許只是口頭說說,畢竟還沒資遣他不是嗎?
若對方已有開缺找人,您想過去直接投履歷就好,要表現您的專業,到面試階段面試官有問您的時候再說就好。人資應該不懂技術,您直接發郵件給人資等於是把事情搞大,若對方公司有個慣老板會不會害了現職的資訊人員呢?
在我現任的公司有導入ISO 27001,網路架構是屬於內部機密資料,您的朋友直接告訴您內網的相關IP訊息是不合資安規定的,現在事情已經搞大了,您修一下文吧,不然對方後續追查下去,這篇PO文也有可能也會害了您的朋友~~
若您公司的網路架構不算是內部機密,我個人完全沒有任何意見,我提ISO原因單純是提醒原PO,他並不知道對方公司規定,有可能會害朋友被挑刺....
我個人被挑刺的經驗多多,已經久病成良醫了~~
我意思是公司認定為內部機密不代表法律上也是如此. iso是建議的內控框架, 不是法定的框架; 不合資安規定不是觸法, po主該擔心的只有法律上問題
您說的都對,但和我關注的點不在一個層面上。
原PO該面對的法律問題,他本來就該去處理,我會建議他修一下文,是因為後記部份有明確寫到他的朋友告訴他,公司裡有用到幾個的IP網段,若這篇Po文被對方公司的人看到,可能會害了他朋友....
很久之前在網路上有看過一篇文章:生命中的五個球。工作是橡皮球,掉了早晚會彈回來;友誼是玻璃球,請務必好好珍惜~~
所以我常跟下面的說
資訊凡是都要小心
例: 不斷交待千萬不要碰觸他人身體
如果需要他人滑鼠也要先請對方移開身體
再使用
尤其是在這個年代
被指控有的沒的
算正常
就像我在公司很多私人電腦公用
一律都說不處理
最近作了場"惡夢",夢中有些與資訊相關的法務問題向各位先進請教。
你看見的重點是「資訊」
我看見的重點是「法務」,只看事實
事實:
1.這社會,只要有人(A)覺得權益受損,就可以找人(B)負責/求償(%)
2.在此案例中,B就是你公司(因為你堂而皇之地使用公司帳號)
3.B有兩種可能下場
第一種:花了一番功夫,證明自己不用負責
第二種:摸摸鼻子負責/賠償了事
而不管是那一種,都絶對不是B平常的主要工作/營利內容
結論
不處罰你要處罰誰呢
%:送你一個極端例子
如果在美國,你因為這件事受到任何權益損害
你就可以向TWNIC提告
告他公開提供的工具讓你因使用而受到權益損害
然後求償1000萬元之類的
重點1:你可以提告,告不告得成是另一回事 而法律訴訟的過程,有時會讓人覺得比結果還難忍受
重點2:講法律的時侯就不要講道理;講道理的時侯就不要搬法律
iThome鐵人賽
看影片追技術