故事的開頭簡述

知名3D繪圖軟體 SolarWinds 的前任 CEO KT 說是實習生違反 SolarWinds 的密碼政策，在私人的GitHub帳號張貼密碼，現任 CEO SR 說密碼在2017就開始用了...
傳說2018/06可線上登入~2019/11刪密 沒刪號

廢宅有幾個疑問

1. 還是那個熟悉的密碼命名方式(公司名、公司電話、公司統編、品名...任選1~2樣後面在加幾個數字，或者帳號=密碼，又或者空密碼)
2. 說好的密碼複雜度ㄋ? SW公司有在管嗎？
3. 伺服器的密碼是實習生該拿的嗎? 執行工作時的必要權限應該給哪些權限?
4. 實習生工作多久了?
5. 除了已發現的密碼，還有沒有其它重要資訊外流?
6. 刪除舊密碼"solarwinds123"，瞎猜...新密碼會是"SolarWinds123456"嗎?

建議

1. 定期培訓員工並確認培訓有效性。
2. 錄用員工後應簽訂保密(NDA)、敬業(乖乖條款)、著作權(工作會產出文件)、智財權(工作需引用大量資訊)、商標權(設計)、專利權(研發、設計)...維護企業或機構權益。
3. 上述條文，如果跟憲法抵觸或侵害公民權益可能是無效條款。例如:要求軟體研發攻城獅離職後不準去其它單位做軟體研發工作，且不給付等價薪資導致攻城獅收入為0...著樣嚴苛的條件是無效的。

資料來源:
SolarWinds實習生外洩密碼solarwinds123，可能是駭客入侵破口
CNN報導