导语:新产品销量是一家公司的绝密数据,除非是营销需要,否则任何公司都不会主动对外公布。由于锤子科技和创始人本身颇具话题争议,这起很寻常的GitHub泄密事件在知乎微博上被热议,变成了公司的公关噩梦。
又一个超经典的企业机密信息泄露事故。
就在昨天,有网友在GitHub上发现一个锤子科技员工账号上传的个人项目,里边包含许多公司内部日常工作使用的脚本代码。
这个项目里最敏感的是几份6月15日的表格文件,有锤子科技对旗下最新款手机坚果Pro的用户调研统计(result.csv),大约一万多条记录;还有坚果Pro的用户ID、IMEI、详细型号关系表格(odin.csv),共二十万七千多条记录。据网友猜测可能是IMEI激活记录,按锤科“激活不退”原则,基本等同手机当时实际销量。
新产品销量是一家公司的绝密数据,除非是营销需要,否则任何公司都不会主动对外公布。由于锤子科技和创始人本身颇具话题争议,这起很寻常的GitHub泄密事件在知乎微博上被热议,变成了公司的公关噩梦。
GitHub泄露如何防治?
作为专业信息安全新媒体,嘶吼刚看到这个事情时还是比较吃惊的。锤子科技过去几年安全方面投入不少,有做安全的人、也有预算,上过多次安全测试服务,没想到在GitHub上开张栽了跟头。
这里明显有两个问题:
1、不清楚该员工有意还是无意,但锤科内部的员工安全教育和管理应该是有纰漏的
2、锤科安全对GitHub的监控不够到位,从备份项目看这位员工应该是前天上传的项目,如果监控到位可能有补救机会
前一点没啥好说的,有机会嘶吼会做一个宣传专题;后一点就是安全团队多上心,把GitHub监控做好。
对于没有经验的安全团队,可以参考现成的开源项目来开发,例如@0xbug的Hawkeye。如果自己暂时没法弄,也可以找安全公司购买相关服务。
员工GitHub泄密的危害可小可大,锤子科技这个不算什么,某些公司因为员工无意上传敏感信息,用户数据被拖、服务器被控制才难受呢。大家一定要小心谨慎。