首先对您找到的内容进行截图。对于属于您的数据，您应该对其进行分类。就个人而言，我会下载它，以便您参考。您应该对自己的数据进行屏幕截图，并避免使用不属于您的数据。确保包含 URL。以律师可以理解的方式记录这些内容。这很可能成为法律问题，而不是 IT 问题。我说“截图”是因为这是明确的，律师理解截图。

联系您的内部律师，以及您的通讯或媒体人员。你需要让他们注意到这个漏洞。然后，如果您为一家大型老公司工作，律师可能需要通过客户管理团队查看与承包商的商业合同。高层领导中没有人愿意从每个人最喜欢的 IDS：Twitter 中了解它。您的通讯/公关团队将需要处理由此产生的任何消息。您的执行团队可能需要参与其中。除非您是CIO，否则您应该从您的 CIO 那里获得指导，在这种情况下，我倾向于在内部通知人们。

与您的公司数据保护官接洽。那可能是律师。他们将决定违规行为是否需要通知 GDPR / ICO。你必须尽快做这件事，因为你有 72 小时的时间从你意识到的那一刻做出决定；这包括周末（永远不要在周五寻找事件......）。您的 DPO 会提供建议。如果您是 DPO，那么您可能需要聘请您公司的外部法律顾问来确认您的决定。

查看数据后，您将能够告知有多少数据主体受到影响（如果有）。您还可以确定数据泄露是否影响您的任何客户，因为您可能有通知他们的合同义务。

联系托管公司。如果它是像 GitHub 这样的东西，那么他们可能倾向于玩得很好。您可能需要让您的律师以公司官员的身份写信给他们。

联系承包商，最好是通过他们的签约公司和内部律师。要求他们删除那里的东西。

现在您可以开始计算对您的业务的重大影响。我预计需要更改凭据、密钥和其他身份验证令牌。

根据您公司的规模、您的风险偏好和您的口袋大小，您可能需要考虑引入一家取证类型的公司来寻找类似的数据。是的，我知道这有点像安全剧院，但是如果您为一家 FTSE100 公司工作，那么如果您遇到问题，那么您需要一份带有 Big4 审计徽章的报告，上面写着“没有更多问题”。（我对我看到大公司在此类报告上的花费感到惊讶，当然，来自内部人员的同一件事通常被认为是微不足道的）。

我不确定不属于您的数据。如果您开始尝试与第三方合作，那么您一定会被问到您从他们那里获得了哪些数据，并且他们一定会要求您确认您所获取的任何数据都已被删除。就我个人而言，我倾向于忽略任何不属于我的数据。您可能希望向您认为是数据所有者的任何人进行披露，这完全取决于您。

你提到键盘记录；如果您想知道为什么个人可能在自己的 PC 上拥有击键记录器，那么他们可能会使用它作为他们键入内容的简单备份。我认识这样做的人。

旁白：最后作为切线观察，您发现的情况并不少见。人们储存各种垃圾；例如，人们通过 FTP 将他们的家庭数据存储连接到互联网：我们对包含我们公司字符串的此类数据进行定期评估。

您通常希望联系托管公司将其删除并将所有数据和日志置于合法保留之下。

您也可以联系其他受影响的公司。

从法律上讲，您需要联系您所在司法管辖区的律师和执法部门。

不用说，但请确保这些登录凭据在您的系统上不起作用。如果他们在他离开您的组织时没有被停用（当他们应该被停用时），您将需要审核您的访问日志以确保自他离开后他们没有被使用 - 如果他们在公共网站上任何人都可以找到它们，您应该假设有人尝试过它们。

仔细记录您找到的所有内容，包括您何时以及如何找到它的详细信息。执法部门会想知道。有一天，您很可能必须就这一点在法庭上作证——即使您的公司不起诉，其他公司也可能会，如果您在他们作为证人传唤您时准备好所有细节，您会看起来更专业。

如果您是公司的正式员工，您的正确上报应该通过 Infosec 团队，如果您的公司规模不足以拥有专门的 Infosec 团队，则应退回法律和 IT 部门。我也会在任何沟通中复制 HR。

这是一个非常严重的情况。如果您不知道该做什么（并且您非常明智地在 Stack Exchange 上寻求建议的事实表明您不知道），那么您需要将其传递给您公司内的团队。

不要试图自己在公司之外做任何事情。

向您的信息安全/IT/法律团队提供该站点上托管的信息的 URL。

如果您下载了与其他公司相关的信息，请将其删除。这是您不应该拥有的机密信息。相反，让您的信息安全/IT/法律团队以官方身份联系其他公司。