来源丨经授权转自 轩辕的编程宇宙(ID:xuanyuancoding)
大家好,我是轩辕。
你在工作中捅出最大的篓子是什么?
最近我刷V站,发现有人发了这么一则帖子:
他们内网某台电脑中了毒,然后通过这台电脑,在内网进行扫描,扫到了内网部署的Gitlab服务,刚好不巧,这Gitlab用的还是弱口令,这下好了,直接给你代码扒拉干净。更要命的是,一些线上服务的私钥也泄露了,直接给扒了个底朝天。
楼主没有详细描述太多细节,如果他们这内网是物理上隔绝互联网的,问题倒还好,但凡某一台设备可以联通互联网,那事儿确实就麻烦了。
一般在一些业务敏感型的公司,尤其是一些从事网络安全业务的公司,内外网都是物理隔绝的。但架不住有时候会短暂性的让内网个别主机或者服务器连接一下互联网,比如下载一些开发包之类的,就在这短暂的时间里就有存在风险的可能。
另外在大厂里,都有比较成熟完善的风控机制,包括弱口令、代码审计等等都会有流程来把控,密码都会要求周期性修改,把一些低级错误扼杀在摇篮中。但很多中小型公司这方面做得就比较差了,平时都是以业务第一,安全问题很少重视,除非出了事儿才会临时处理一下。
你们的公司属于哪一种,可以评论区说说看。
上面那个帖子下面,很多网友开始自爆起了自己捅出的娄子:
有把阿里云服务的AccessKey和SecretKey直接传到GitHub,然后阿里云直接邮件发到老大那里,最后做检讨的:
而且有类似经历的人还不止一个,这一位也是把测试服务器的秘钥给传到GitHub了,不过幸好自己发现了:
接下来这位哥们儿就严重了,国企内网电脑直接连上了互联网,从首都直接层层报警到终端单位,19年的工龄都搞没了,净身离职:
还有人直接把公司项目的代码贴到了互联网上,然后又被辗转搬运到了内容农场CSDN:
最后我也分享一个我的朋友的故事,曾经的一位同事,到了一家新单位,还没过试用期呢,为了传文件方便,在内网电脑上插了一个移动wifi热点,然后第二天就收到了开除通知···
你们有在工作中捅出什么娄子吗,欢迎评论区分享。
当然,你可以用下面的句式:
我有一个朋友,···
