Smu*_*dge 2426 security pci-dss
我们服务器的安全审核员在两周内提出了以下要求:
我们正在运行带有 LDAP 身份验证的 Red Hat Linux 5/6 和 CentOS 5 机器。
据我所知,该列表中的所有内容要么不可能获得,要么难以获得,但如果我不提供这些信息,我们将面临无法访问我们的支付平台并在过渡期间失去收入的情况,因为我们转向新服务。关于如何解决或伪造这些信息的任何建议?
我能想到的获得所有纯文本密码的唯一方法是让每个人重置他们的密码并记下他们设置的内容。这并不能解决过去六个月更改密码的问题,因为我无法追溯记录此类内容,记录所有远程文件也是如此。
获取所有公共和私人 SSH 密钥是可能的(尽管很烦人),因为我们只有少数用户和计算机。除非我错过了一个更简单的方法来做到这一点?
我已经多次向他解释过,他所要求的东西是不可能的。针对我的担忧,他回复了以下电子邮件:
我在安全审计方面有超过 10 年的经验,并且对 redhat 安全方法有充分的了解,所以我建议你检查你的事实,了解什么是可能的,什么是不可能的。你说没有公司可能拥有这些信息,但我已经进行了数百次审计,这些信息很容易获得。所有 [通用信用卡处理提供商] 客户都必须遵守我们的新安全政策,此审核旨在确保这些政策已正确实施*。
*“新安全策略”是在我们审核前两周引入的,并且在策略更改之前不需要六个月的历史记录。
简而言之,我需要;
如果我们未能通过安全审核,我们将无法访问我们的卡处理平台(我们系统的关键部分),并且需要两周时间才能转移到其他地方。我有多烂?
感谢您的所有回复,知道这不是标准做法让我感到非常欣慰。
我目前正在计划我给他的电子邮件回复,解释情况。正如你们中的许多人指出的那样,我们必须遵守 PCI,其中明确规定我们不应该以任何方式访问纯文本密码。我写完后会发邮件。不幸的是,我不认为他只是在考验我们;这些东西现在在公司的官方安全政策中。然而,我已经让轮子运动起来,暂时离开它们并转移到贝宝上。
这是我起草的电子邮件,对添加/删除/更改内容有什么建议吗?
嗨[姓名],
不幸的是,我们无法向您提供某些要求的信息,主要是纯文本密码、密码历史、SSH 密钥和远程文件日志。这些事情不仅在技术上是不可能的,而且能够提供这些信息既违反 PCI 标准,也违反了数据保护法。
引用 PCI 要求,8.4 使用强密码术在所有系统组件上传输和存储期间使所有密码不可读。
我可以为您提供我们系统上使用的用户名和散列密码的列表、SSH 公钥和授权主机文件的副本(这将为您提供足够的信息来确定可以连接到我们服务器的唯一用户数量以及加密使用的方法)、有关我们的密码安全要求和我们的 LDAP 服务器的信息,但这些信息不得带离现场。我强烈建议您查看您的审核要求,因为我们目前无法在遵守 PCI 和数据保护法案的同时通过此审核。
问候,
[我]
我将抄送公司的 CTO 和我们的客户经理,我希望 CTO 可以确认此信息不可用。我还将联系 PCI 安全标准委员会,解释他对我们的要求。
以下是我们交换的一些电子邮件;
RE:我的第一封电子邮件;
正如所解释的,任何有能力的管理员都应该可以在任何维护良好的系统上轻松获得此信息。您未能提供此信息使我相信您知道您系统中的安全漏洞并且不准备透露它们。我们的要求符合 PCI 指南,两者都可以满足。强加密仅意味着在用户输入密码时必须对密码进行加密,但随后应将其移动为可恢复的格式以备后用。
我认为这些请求没有数据保护问题,数据保护仅适用于消费者而非企业,因此这些信息应该没有问题。
只是,什么,我,不能,甚至……
“强密码术仅意味着在用户输入密码时必须对密码进行加密,但随后应将其移动为可恢复的格式以备后用。”
我要把它装裱起来放在我的墙上。
我厌倦了外交,并引导他到这个线程向他展示我得到的回应:
直接提供此信息与 PCI 指南的几个要求相矛盾。我引用的部分甚至说
storage(暗示我们将数据存储在磁盘上的位置)。我在 ServerFault.com(系统管理员专业人士的在线社区)上发起了一场讨论,引起了巨大反响,所有人都表示无法提供此信息。随意阅读自己https://serverfault.com/questions/293217/
我们已经完成将我们的系统转移到一个新平台,并将在第二天左右取消我们与您的帐户,但我希望您意识到这些请求是多么荒谬,正确实施 PCI 指南的公司不会或应该,能够提供这些信息。我强烈建议您重新考虑您的安全要求,因为您的客户都不应该能够遵守这一点。
(我实际上忘记了我在标题中称他为白痴,但正如前面提到的,我们已经离开了他们的平台,所以没有真正的损失。)
在他的回应中,他说显然你们都不知道自己在说什么:
我详细阅读了这些回复和您的原始帖子,回复者都需要了解他们的事实。我在这个行业的工作时间比该网站上的任何人都长,获取用户帐户密码列表非常基础,这应该是您在学习如何保护系统安全时要做的第一件事,并且对于任何安全操作都必不可少服务器。如果您真的缺乏做这么简单的事情的技能,我将假设您的服务器上没有安装 PCI,因为能够恢复这些信息是该软件的基本要求。在处理诸如安全之类的问题时,如果您对它的工作原理没有基本的了解,则不应在公共论坛上提出这些问题。
我还想建议,任何试图透露我或 [公司名称] 的行为都将被视为诽谤,并将采取适当的法律行动
如果你错过了关键的白痴点:
优秀。
PCI SSC 已作出回应,正在调查他和公司。我们的软件现已转移到 PayPal,因此我们知道它是安全的。我将等待 PCI 首先回复我,但我有点担心他们可能已经在内部使用这些安全实践。如果是这样,我认为这对我们来说是一个主要问题,因为我们所有的卡片处理都通过它们进行。如果他们在内部这样做,我认为唯一负责任的做法就是通知我们的客户。
我希望当 PCI 意识到情况有多糟糕时,他们会调查整个公司和系统,但我不确定。
所以现在我们已经离开了他们的平台,并且假设在 PCI 回复我之前至少要几天时间,任何关于如何欺骗他的创造性建议?=)
一旦我从我的律师那里得到许可(我非常怀疑这些是否真的是诽谤,但我想仔细检查一下)我会公布公司名称、他的姓名和电子邮件,如果你愿意,你可以联系他并解释为什么您不了解 Linux 安全的基础知识,例如如何获取所有 LDAP 用户密码的列表。
我的“法务人员”建议透露公司可能会导致比需要的更多的问题。不过我可以说,这不是主要提供商,他们使用此服务的客户少于 100 个。我们最初是在网站很小并在一个小型 VPS 上运行时开始使用它们的,我们不想经历获得 PCI 的所有努力(我们曾经重定向到他们的前端,如 PayPal Standard)。但是当我们转向直接处理卡(包括获取 PCI 和常识)时,开发人员决定继续使用同一家公司的不同 API。该公司位于英国伯明翰地区,所以我非常怀疑这里的任何人都会受到影响。
Zyp*_*her 1290
首先,不要投降。他不仅是个白痴,而且是危险的错误。事实上,发布此信息将违反PCI 标准(这是我假设审计的目的,因为它是一个支付处理器)以及所有其他标准和普通常识。它还会使您的公司面临各种负债。
我接下来要做的就是给你的老板发一封电子邮件,说他需要让公司法律顾问参与进来,以确定公司继续采取这一行动将面临的法律风险。
最后一点由您决定,但我会联系 VISA 并提供此信息并获取他的 PCI 审核员身份。
Mar*_*son 890
作为一个已经通过普华永道的审计程序的人,我可以向你保证,这完全是不可能的,这个人疯了。
当普华永道想要检查我们的密码强度时,他们:
如果我什至暗示我可以向他们展示过去 6 个月的用户密码,他们就会立即将我们拒之门外。
如果可以提供这些要求,您将立即失败每一次值得进行的审计。
更新:您的回复电子邮件看起来不错。比我写的任何东西都要专业得多。
ana*_*phe 485
老实说,听起来这个人(审计员)是在给你安排。如果你向他提供他所要求的信息,你就向他证明了你可以通过社会工程来放弃关键的内部信息。失败。
Cho*_*er3 362
我刚刚发现你在英国,这意味着他要你做的是违反法律(实际上是数据保护法)。我也在英国,在一家经过严格审计的大型公司工作,了解该领域的法律和常见做法。我也是一个非常讨厌的工作,如果你喜欢只是为了好玩,他会很乐意为你遏制这个家伙,如果你想要帮助,请告诉我。
小智 313
你正在接受社会工程。要么是“测试你”,要么是黑客冒充审计员来获取一些非常有用的数据。
Jos*_*ern 296
我非常担心 OP 缺乏解决道德问题的技能,以及服务器故障社区无视这种公然违反道德行为的行为。
简而言之,我需要;
- 一种“伪造”六个月的密码更改并使其看起来有效的方法
- 一种“伪造”六个月的入站文件传输的方法
让我明确两点:
伪造记录不是您的工作。您的工作是确保任何必要的记录都可用、准确且安全。
Server Fault 的社区必须像 stackoverflow 站点对待“作业”问题一样对待这些类型的问题。您不能仅通过技术响应来解决这些问题,也不能忽视违反道德责任的行为。
看到如此多的高代表用户在此线程中回复并且没有提及该问题的道德含义,这让我感到难过。
我鼓励每个人阅读SAGE 系统管理员的道德准则。
顺便说一句,您的安全审核员是个白痴,但这并不意味着您需要在工作中感到不道德的压力。
编辑:您的更新是无价的。保持低头,擦干粉末,不要拿(或给)任何木制镍币。
wom*_*ble 249
你不能给他你想要的东西,并且试图“伪造”它很可能会回来咬你的屁股(可能是合法的)。您要么需要向上级命令链提出申诉(这个审计员可能是流氓了,尽管安全审计是出了名的愚蠢——向我询问希望能够通过 SMB 访问 AS/400 的审计员),或者见鬼去吧从这些苛刻的要求之下出来。
他们甚至还没有良好的安全性-所有明文密码的列表是一个令人难以置信的危险的事不断产生,无论方法用来保护他们,我敢打赌,这家伙会希望他们以明文发电子邮件. (我相信你已经知道了,我只需要发泄一下)。
对于狗屎和傻笑,直接问他如何执行他的要求——承认你不知道如何,并想利用他的经验。一旦你走出去,对他“我有超过 10 年的安全审计经验”的回答将是“不,你有 5 分钟的经验重复数百次”。
小智 189
如果审核员发现您现在已解决的历史问题,他们不应该让您失望。事实上,这是良好行为的证据。考虑到这一点,我建议两件事:
a) 不要撒谎或编造东西。b) 阅读您的政策。
对我来说,关键的声明是这样的:
所有 [通用信用卡处理提供商] 客户都必须遵守我们的新安全政策
我敢打赌,这些政策中有一条声明,说密码不能写下来,也不能传递给用户以外的任何人。如果有,则将这些策略应用于他的请求。我建议这样处理:
- 所有服务器上所有用户帐户的当前用户名和纯文本密码列表
向他展示用户名列表,但不要让他们被带走。说明提供纯文本密码是 a) 不可能的,因为它是单向的,并且 b) 违反政策,他正在审核您的政策,因此您不会遵守。
- 过去六个月所有密码更改的列表,再次以纯文本形式显示
解释这在历史上是不可用的。给他一份最近密码更改时间的列表,以表明这正在完成。如上所述,将不提供密码。
- 过去六个月“从远程设备添加到服务器的每个文件”的列表
解释什么被记录,什么不被记录。提供你能做的。不要提供任何机密信息,并通过政策解释为什么不提供。询问您的日志记录是否需要改进。
- 任何 SSH 密钥的公钥和私钥
查看您的密钥管理策略。它应该声明私钥不允许从其容器中取出并具有严格的访问条件。应用该策略,并且不允许访问。公钥是公开的,可以共享。
- 每次用户更改密码时发送给他的电子邮件,其中包含纯文本密码
拒绝吧。如果你有一个本地安全日志服务器,让他看到这是在原地记录的。
基本上,我很抱歉这么说,但你必须对这个人采取强硬态度。严格遵守您的政策,不要偏离。不撒谎。如果他因为任何不符合政策的事情而让你失望,请向派遣他的公司的前辈投诉。收集所有这些的书面记录,以证明您是合理的。如果你违反了你的政策,你就会受到他的摆布。如果你按照他们的要求去做,他最终会被解雇。
EEA*_*EAA 145
是的,审计师是个白痴。然而,如您所知,有时白痴会被置于权力位置。这是其中一种情况。
他请求的信息对系统当前的安全性具有零影响。向审计员解释您正在使用 LDAP 进行身份验证,并且密码是使用单向哈希存储的。如果不对密码哈希执行暴力脚本(可能需要数周(或数年)),您将无法提供密码。
同样的远程文件 - 我想听听,也许,他认为你应该如何区分直接在服务器上创建的文件和 SCPed 到服务器的文件。
正如@womble 所说,不要伪造任何东西。那不会有什么好处。要么放弃这次审计并罚款另一个经纪人,要么找到一种方法来说服这位“专业人士”,他的奶酪已经从饼干上滑落了。
小智 78
卧槽!抱歉,这是我对此的唯一反应。我听说过没有任何审计要求需要明文密码,更不用说在密码更改时向他们提供密码了。
1st,请他向您展示您提供的要求。
第二,如果这是针对 PCI(我们都假设这是一个支付系统问题),请转到此处:https : //www.pcisecuritystandards.org/approved_companies_providers/qsa_companies.php并获得新的审计员。
第三,按照他们上面说的,联系你的管理层,让他们联系他正在合作的 QSA 公司。然后立即找另一个审核员。
审核员审核系统状态、标准、流程等。他们不需要任何信息来访问系统。
如果您需要任何推荐的审计师或与审计师密切合作的替代 colo,请与我联系,我很乐意提供参考。
祝你好运!相信你的直觉,如果有什么地方不对劲,那很可能就是。
Fra*_*nov 72
他没有正当理由知道密码并可以访问私钥。他的要求将使他能够在任何时间点冒充您的任何客户并尽可能多地吸走他想要的钱,而没有任何办法将其检测为可能的欺诈交易。这正是他应该审核您的安全威胁类型。
小智 67
通知管理层审计员已要求您违反安全政策,并且该要求是非法的。建议他们可能想甩掉目前的审计公司并寻找一家合法的审计公司。打电话给警察并转交审计员索取非法信息(在英国)。然后致电 PCI 并提交审核员的请求。
该请求类似于要求您随意谋杀某人并交出尸体。你会这样做吗?或者你会打电话给警察并把他们交出来?
小智 60
只是一个关于你如何表达你的回应的提示:
不幸的是,我们无法向您提供某些要求的信息,主要是纯文本密码、密码历史、SSH 密钥和远程文件日志。这些事情不仅在技术上是不可能的......
我会改写这一点,以避免进入关于技术可行性的讨论。阅读审计员发送的糟糕的初始电子邮件,看起来这个人可以挑选与主要问题无关的细节,他可能会争辩说你可以保存密码,登录登录等。所以要么说:
... 由于我们严格的安全政策,我们从未以纯文本形式记录密码。因此,从技术上讲,提供这些数据是不可能的。
或者
... 我们不仅会通过遵守您的要求来显着降低我们的内部安全级别,...
祝你好运,让我们知道这将如何结束!
sys*_*138 41
冒着继续高代表用户涌入这个问题的风险,这是我的想法。
我可以模糊地看出他为什么想要明文密码,这是为了判断所使用密码的质量。这是一种糟糕的方法,我认识的大多数审计师都会接受加密的哈希值并运行一个饼干,看看他们能拿出什么样的低垂的果实。他们所有人都将审查密码复杂性政策,并审查实施了哪些保护措施。
但是你必须提供一些密码。我建议(尽管我认为您可能已经这样做了)询问他传递明文密码的目标是什么。他说这是为了验证你的合规性与安全策略,所以让他给你那个策略。询问他是否会接受您的密码复杂性机制足够强大以防止用户将其密码设置P@55w0rd为 6 个月,并且可以证明其已到位。
如果他推动它,您可能不得不承认您无法提供明文密码,因为您没有设置记录它们(这是一个重大的安全失败),但如果他需要,可以在将来努力这样做直接验证您的密码策略是否有效。如果他想证明这一点,你会很乐意为他(或者你!表现出愿意!它有帮助!)提供加密的密码数据库来运行破解。
“远程文件”可能会从 SFTP 会话的 SSH 日志中提取出来,这就是我怀疑他在谈论的内容。如果您没有 6 个月的系统日志记录,这将很难产生。通过 SSH 登录时使用 wget 从远程服务器提取文件是否被视为“远程文件传输”?是 HTTP PUT 吗?从远程用户终端窗口中的剪贴板文本创建的文件?如果有的话,你可以用这些边缘案例纠缠他,以更好地了解他在这方面的担忧,并可能灌输“我比你更了解这一点”的感觉,以及他正在考虑的具体技术。然后从备份的日志和归档日志中提取您可以提取的内容。
我对 SSH 密钥一无所知。我唯一能想到的是他出于某种原因正在检查无密码密钥,也许还有加密强度。否则,我什么也得不到。
至于获取这些密钥,至少可以轻松获取公钥;只需拖动 .ssh 文件夹寻找它们。获取私钥将涉及戴上您的 BOFH 帽子,并以“将您的公共和私人 SSH 密钥对发送给我。我没有得到的任何内容将在 13 天内从服务器中清除”的曲调对您的用户进行抨击,并且如果有人抱怨(我会)将他们指向安全审计。在这里,脚本是您的朋友。至少它会导致一堆无密码的密钥对来获取密码。
如果他仍然坚持“电子邮件中的纯文本密码”,至少使用他自己的密钥对这些电子邮件进行 GPG/PGP 加密。任何称职的安全审计师都应该能够处理这样的事情。那样的话,如果密码泄露,那是因为他泄露了密码,而不是你。能力的又一个试金石。
我必须同意 Zypher 和 Womble 的观点。危险的白痴会带来危险的后果。
jam*_*esc 36
他可能正在测试您是否有安全风险。如果您向他提供这些详细信息,那么您可能会立即被解雇。把这个拿给你的直接上司并推卸责任。让你的老板知道,如果这个混蛋再次靠近你,你将涉及有关当局。
这就是老板的报酬。
我看到出租车后面有一张纸,上面有密码、SSH 密钥和用户名的列表!哼哼!现在可以看到报纸头条了!
更新
针对下面的 2 条评论,我想你们都有好话要说。没有办法真正查明真相,这个问题被张贴的事实显示了发帖者的一点天真,以及勇敢地面对可能造成职业后果的不利情况的勇气,其他人会埋头苦干。沙子跑掉。
我对它的价值的结论是,这是一场非常有趣的辩论,可能让大多数读者想知道在这种情况下他们会怎么做,无论审计师或审计师的政策是否称职。大多数人在工作生活中都会以某种形式或形式面临这种困境,这真的不是那种应该推到一个人肩上的责任。这是一个商业决定,而不是个人决定如何处理这个问题。
小智 32
显然这里有很多好的信息,但请允许我添加我的 2c,作为编写软件的人,该软件由我的雇主在全球范围内销售给大型企业,主要是为了帮助人们遵守帐户管理安全政策并通过审计;为了什么那是值得的。
首先,正如您(和其他人)所指出的,这听起来非常可疑。要么审计师只是遵循他不理解的程序(可能),要么测试你的漏洞,所以社会工程(在后续交流之后不太可能),或者欺诈社会工程你(也可能),或者只是一个普通的白痴(可能)最有可能的)。至于建议,我建议您应该与您的管理层交谈,和/或寻找一家新的审计公司,和/或将此报告给适当的监督机构。
至于笔记,有几件事:
希望有所帮助,即使它主要是重申其他人的建议。像你一样,我不会为我的公司命名,就我而言,因为我不是为他们说话(个人账户/意见等);如果这会降低可信度,我们深表歉意,但就这样吧。祝你好运。
小智 26
这可以而且应该发布到IT 安全堆栈交换。
我不是安全审计方面的专家,但我学到的关于安全策略的第一件事是"NEVER GIVE PASSWORDS AWAY". 这家伙可能已经在这个行业工作了 10 年,但就像 Womble 说的"no, you have 5 minutes of experience repeated hundreds of times"
我和银行 IT 人员一起工作了一段时间,当我看到你的帖子时,我向他们展示了......他们笑得很厉害。他们告诉我那个人看起来像个骗子。他们曾经为了银行客户的安全处理这种事情。
要求清楚密码、SSH 密钥、密码日志,显然是严重的职业不当行为。这家伙很危险。
我希望现在一切都好,并且您对他们可以保留您之前与他们进行的交易的日志没有任何问题。
use*_*517 20
如果您可以提供第 1、2、4 和 5 点中要求的任何信息(公钥可能除外),您应该预计会通过审核。
正式回应第 1,2 和 5 点,说您不能遵守,因为您的安全策略要求您不要保留纯文本密码,并且密码使用不可逆算法进行加密。对于第 4 点,您不能提供私钥,因为它会违反您的安全策略。
至于第 3 点。如果您有数据,请提供。如果您不这样做,因为您不必收集它,那么请说出来并展示您现在(正在努力)如何满足新要求。
小智 19
我们服务器的安全审核员在两周内提出了以下要求:
...
如果我们未能通过安全审核,我们将无法访问我们的卡处理平台(我们系统的关键部分),并且需要两周时间才能转移到其他地方。我有多烂?
好像您已经回答了您自己的问题。(有关提示,请参阅粗体文本。)
想到的只有一个解决方案:让每个人都写下他们上次和当前的密码,然后立即将其更改为新密码。如果他想测试密码质量(以及从密码到密码的转换质量,例如确保没有人使用rfvujn125和rfvujn126作为他们的下一个密码),那么旧密码列表就足够了。
如果这不被认为是可以接受的,那么我怀疑这个人是 Anonymous/LulzSec 的成员......此时你应该问他他的处理方式是什么,并告诉他不要再这样磨砂了!
rei*_*ero 19
正如 oli 所说:有关人员正试图让您违反法律(数据保护/欧盟保密指令)/内部法规/PCI 标准。您不仅应该通知管理层(正如我认为的那样),而且您可以按照建议报警。
如果相关人员持有某种认证/认证,例如 CISA(认证信息系统审计师)或英国等效的美国 CPA(公共会计师称号),您还可以通知认证机构对此进行调查。那个人不仅试图让你违法,而且是极其无能的“审计”,并且可能违反了每一个道德审计标准,认可的审计师必须忍受失去认证的痛苦。
此外,如果相关人员是大公司的成员,上述审计组织通常需要某种 QA 部门来监督审计和审计归档的质量并调查投诉。因此,您也可以尝试向相关审计公司投诉。
Luc*_*man 18
我仍在学习中,我在设置服务器时学到的第一件事是,如果您可以记录明文密码,那么您已经因巨大的漏洞而危及自己。除了使用密码的用户外,不应知道任何密码。
如果这家伙是个严肃的审计师,他就不应该问你这些问题。对我来说,他听起来像个不法分子。我会去检查一下调节器,因为这家伙听起来像个彻头彻尾的白痴。
更新
等等,他认为您应该使用对称加密来传输密码,然后将它们以明文形式存储在您的数据库中,或者提供一种解密它们的方法。所以基本上,在对数据库进行所有匿名攻击之后,他们显示纯文本用户密码,他仍然认为这是“保护”环境的好方法。
他是一只困在 1960 年代的恐龙……
Vat*_*ine 14
我会根据我的回答提供一些内容,并根据需要由 PCI 合规性、SOX_compliance 和内部安全策略文档提供支持。
小智 12
这家伙的要求很臭,我同意从现在开始的任何通信都应该通过 CTO。他要么试图让你成为无法满足上述要求、发布机密信息的替罪羊,要么是非常无能。希望你的首席技术官/经理会对这个人的要求采取双重措施,并且会采取积极的行动,如果他们支持这个人的行为......好吧,分类广告总是需要优秀的系统管理员,因为如果发生这种情况,听起来是时候开始寻找一些地方了。
Ist*_*van 12
我会告诉他,为密码构建破解基础设施需要时间、精力和金钱,但由于您使用了强散列(如 SHA256 或其他),因此可能无法在 2 周内提供密码。最重要的是,我会告诉我我联系了法律部门以确认与任何人共享这些数据是否合法。像您一样提及 PCI DSS 也是一个好主意。:)
看到这篇文章,我的同事们都震惊了。
ben*_*phy 11
我很想给他一份蜜罐账户的用户名/密码/私钥列表,然后如果他测试过这些账户的登录信息,他就会对计算机系统进行未经授权的访问。但是,不幸的是,这可能会使您至少因欺诈性陈述而遭受某种民事侵权。
小智 10
只需拒绝透露信息,说明您无法传递密码,因为您无权访问它们。作为一名审计员,他必须代表某个机构。此类机构通常会发布此类审计的指南。查看此类请求是否符合这些准则。您甚至可以向此类协会投诉。还要向审计员明确说明,如果有任何不当行为,责任可能会回到他(审计员)身上,因为他拥有所有密码。
我想说的是,您无法向他提供所要求的任何信息。
这家伙在拉你的笨蛋伙伴!你需要与他的经理或公司的其他审计师取得联系,以确认他的无耻要求。并尽快搬走。
| 归档时间: |
|
| 查看次数: |
510319 次 |
| 最近记录: |