最近这两天,我朋友所在的公司发生了一起关于数据泄露的网络安全事件,而且被作为反面案例在区域内进行了通报批评。
事情大概是这样的,去年他们公司作为数据服务商为某个ZF部门建设项目。由于时间紧迫,公司派出了大量资源进行驻场实施。团队规模一大,沟通成本就会上升。又加上公司内部并未建立私有化的知识库,团队内部决定利用某在线文档作为知识的存储介质,记录与项目相关的所有信息,方便大家信息同步、信息共享。要命的是,由于安全意识的缺失,更是为了图省事,他们竟然将知识库的访问权限设置为互联网所有人都可访问。在整个项目推进的过程中,确实也相安无事,然而近期一次网络检查中突然爆雷了。
地市相关的网络安全部门组织了一次网络检查活动,他们通过技术检测手段发现了可以在该在线文档公开互联网访问到该项目信息。在发现的文档中,他们发现了该项目的大量敏感信息,包括项目数据库、IP地址、账号密码、会议记录等。一石激起千层浪,圈内很快炸了锅,安全通报也很快下达至公司。公司高层领导们对此高度重视,紧急找到了该项目的所有团队成员进行了深入谈话。最终,根据检测报告上提供的相关人员账号信息,确认了知识库是在开发人员小张的账号主体上创建的。出了问题自然要有人来承担责任,当时的项目主管及小张自然成了“最合适”的人选。由于这起事件对公司的影响较为严重,据说高层正在研究是否对其二人进行辞退。这眼瞅着就要过年了,还幻想着能发点年终奖回家好好过个年,谁承想,不光奖金不用想了,甚至有可能连工作都要搞丢了……
对于这起事件,有一些吃瓜群众有着不同看法,有的人觉得是这家公司是被人针对了,小张只是倒霉背了黑锅而已。毕竟,项目已结束好长时间了,为何会在这个时候被检测出存在问题呢?
这起事件报出来后,我们公司立即要求员工进行自查,所有通过在线文档记录工作内容的,尤其是高度敏感信息立即删除,全部转移至公司内部系统。
最后,无论这起事件爆发的真实原因是什么,但是客户方相关信息被放到互联网上并公开访问的事实是不可否认的。在这个背景下,我们迫切需要提高开发人员的网络安全意识。确保数据的安全,防范于未然,是每个开发者都不可回避的责任。
筒子们,如果你们也有类似的情况,请抓紧核实一下吧,不要让自己成为下一个小张。
END
原文始发于微信公众号(Java浩窍门):网络安全漏洞大曝光:小张遭殃,你会是下一个吗?
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
文章由极客之音整理,本文链接:https://www.bmabk.com/index.php/post/244535.html
