回归最本质的信息安全

从锤子科技员工泄漏新机销量,看企业 GitHub 安全防治

2017年7月13日发布

24,478
3
2

导语:新产品销量是一家公司的绝密数据,除非是营销需要,否则任何公司都不会主动对外公布。由于锤子科技和创始人本身颇具话题争议,这起很寻常的GitHub泄密事件在知乎微博上被热议,变成了公司的公关噩梦。

又一个超经典的企业机密信息泄露事故。

就在昨天,有网友在GitHub上发现一个锤子科技员工账号上传的个人项目,里边包含许多公司内部日常工作使用的脚本代码。

这个项目里最敏感的是几份6月15日的表格文件,有锤子科技对旗下最新款手机坚果Pro的用户调研统计(result.csv),大约一万多条记录;还有坚果Pro的用户ID、IMEI、详细型号关系表格(odin.csv),共二十万七千多条记录。据网友猜测可能是IMEI激活记录,按锤科“激活不退”原则,基本等同手机当时实际销量。

屏幕快照 2017-07-13 下午4.29.11.png

新产品销量是一家公司的绝密数据,除非是营销需要,否则任何公司都不会主动对外公布。由于锤子科技和创始人本身颇具话题争议,这起很寻常的GitHub泄密事件在知乎微博上被热议,变成了公司的公关噩梦。

GitHub泄露如何防治?

作为专业信息安全新媒体,嘶吼刚看到这个事情时还是比较吃惊的。锤子科技过去几年安全方面投入不少,有做安全的人、也有预算,上过多次安全测试服务,没想到在GitHub上开张栽了跟头。

这里明显有两个问题:

1、不清楚该员工有意还是无意,但锤科内部的员工安全教育和管理应该是有纰漏的

2、锤科安全对GitHub的监控不够到位,从备份项目看这位员工应该是前天上传的项目,如果监控到位可能有补救机会

Snip20170713_2.png

前一点没啥好说的,有机会嘶吼会做一个宣传专题;后一点就是安全团队多上心,把GitHub监控做好。

对于没有经验的安全团队,可以参考现成的开源项目来开发,例如@0xbug的Hawkeye。如果自己暂时没法弄,也可以找安全公司购买相关服务。

687474703a2f2f6f736c6d31707367662e626b742e636c6f7564646e2e636f6d2f4861776b65796553637265656e73686f742e706e67.png

员工GitHub泄密的危害可小可大,锤子科技这个不算什么,某些公司因为员工无意上传敏感信息,用户数据被拖、服务器被控制才难受呢。大家一定要小心谨慎。

如若转载,请注明原文地址: http://www.4hou.com/info/news/6329.html

点赞 2
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

longye

longye

临时工

发私信

发表评论

    小黄人
    小黄人 2017-07-14 16:01

    老罗又摊上了,相声说的好,不一定安全做的好

    123456 2017-07-14 13:39

    以前给锤子公司报了个漏洞,结果他们居然说没事,不修复,后来我把漏洞放在锤子论坛上,结果他们官方居然禁我账号和ip,你很难想象这是一个有情怀公司做出来的事

    longye
    longye 2017-07-14 09:18

    搬运一条嘶吼公众号的读者评论:
    让我给360手机提建议的时候360公司的人还有回复。还有直接的改进。虽然不完全采纳,至少还是重视用户的体验。 后来花了一点时间挖掘锤子手机的漏洞。发了邮件过去就像石沉大海一样,丝毫没有动静。这样不尊重用户,很难有大卖的可能。 360手机经过我的推销,至少都卖了十几台吧。给他提供了一些建议,被采纳了之后很多人很喜欢,成为了独一无二的功能。 其实两家公司有显著的差别。曾经我只是发了一个帖子。说锤子手机有安全漏洞,后来帖子就石沉大海,不能查看了。 对此,我已经彻底的对于锤子手机没有丝毫的信心了。