iT邦幫忙

2021 iThome 鐵人賽

DAY 9
0
IT管理

廢宅看那些年被揭露的奇葩獎系列 第 9

都是They的錯(求SW實習生心裡陰影面積)

故事的開頭簡述

知名3D繪圖軟體 SolarWinds 的前任 CEO KT 說是實習生違反 SolarWinds 的密碼政策,在私人的GitHub帳號張貼密碼,現任 CEO SR 說密碼在2017就開始用了...
傳說2018/06可線上登入~2019/11刪密 沒刪號

廢宅有幾個疑問

  1. 還是那個熟悉的密碼命名方式(公司名、公司電話、公司統編、品名...任選1~2樣後面在加幾個數字,或者帳號=密碼,又或者空密碼)
  2. 說好的密碼複雜度ㄋ? SW公司有在管嗎?
  3. 伺服器的密碼是實習生該拿的嗎? 執行工作時的必要權限應該給哪些權限?
  4. 實習生工作多久了?
  5. 除了已發現的密碼,還有沒有其它重要資訊外流?
  6. 刪除舊密碼"solarwinds123",瞎猜...新密碼會是"SolarWinds123456"嗎? /images/emoticon/emoticon77.gif

建議

  1. 定期培訓員工並確認培訓有效性。
  2. 錄用員工後應簽訂保密(NDA)、敬業(乖乖條款)、著作權(工作會產出文件)、智財權(工作需引用大量資訊)、商標權(設計)、專利權(研發、設計)...維護企業或機構權益。
  3. 上述條文,如果跟憲法抵觸或侵害公民權益可能是無效條款。例如:要求軟體研發攻城獅離職後不準去其它單位做軟體研發工作,且不給付等價薪資導致攻城獅收入為0...著樣嚴苛的條件是無效的。

資料來源:
SolarWinds實習生外洩密碼solarwinds123,可能是駭客入侵破口
CNN報導


上一篇
陸企使用自由軟體原始程式碼不共享
下一篇
電腦突然出現奇怪的檔案...
系列文
廢宅看那些年被揭露的奇葩獎40

尚未有邦友留言

立即登入留言