溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
使用公開GitHub,舍不得買會員私有托管。不建自己的私有Gitlab。
使用公開的倉庫,源代碼被人審計,信息泄露。
密碼傳輸到Git。敏感信息傳入Git是不允許的,Git就像區塊鏈,數據傳入后是很難刪除掉的。我沒去研究如何干凈刪除Git的某個版本,因為我還沒遇到過,如果已經傳入的敏感信息密碼是隨機的,沒有在其他地方使用的,更新即可。敏感信息不允許被傳入版本控制系統,Log服務器。一般的機制是密碼使用環境變量注入,或者寫到配置文件,配置文件名放到.gitignore里,同時提供一個模板方便其他開發者拷貝快速建立。
數據庫沒有防火墻保護,放在公網。
MySQL賬戶名是root,密碼是弱密碼123456。多個不同安全級別的數據庫之間沒有隔離。
數據大量泄露(53G+22G+66G=141G)沒有被IDS等流量分析工具預警。
可以看出華住基本上沒有任何安全防護,不從這里泄露,也一定可以從其他地方泄露。
安全是成本
我們談安全都是談成本,愿意投入多少資源可以達到哪個安全級別。 我們談安全還談集中,集中才能降低成本。然而集中這個在酒店業有點難,我不是太了解酒店業IT系統,但是推測除了訂房等可以通過OTA云服務器,很多的監控、門禁、消防、WIFI等操作都必須在酒店內放一臺服務器。而且很多還是民宿,成本已經很低了,怎么再來談安全。想要提高安全,可以從羊身上薅羊毛,住宿費百分多少直接提到安全專項經費里,這個短期內會增加成本,長期來看應該可以提升競爭力,等等,華住會破產么?其他酒店會開始關注IT系統安全么?我覺得不會,酒店業還有更多的衛生等成本需要考慮。
哪個酒店會廣告說:保證開房數據不被泄露?不被泄露唯一的辦法就是數據定期刪除,真正在世界上消失。從備份刪除,從Log刪除。現在存儲太便宜了,又有大數據分析的需求。我記得20年前某大學BBS系統硬盤空間不足了刪信刪用戶刪文章,這在現在看起來是很難想象的。從和尚事件得知短信可以從運營商處調取,保存50年,微信信息?應該也是參照這個標準吧。 如果你沒有能力保護她,就放手吧。 匹夫無罪,懷璧其罪。
數據可以參照歐盟《一般數據保護條例》(GDPR)讓用戶主動刪除或者定期清理,這需要對酒店業的IT系統做很大改變,我住的酒店不多,但是我還沒看到哪個系統能讓我登錄上去查閱我的住宿記錄的,更別說下載到本地后遠程刪除了。當然數據必須保留一段時間以接受監管部門的查閱。從滴滴順風車事件來看,公眾為了安全,希望有一個安全部門能夠調閱任何人的信息。
請開始適應你的信息公開
社會在慢慢進化,這次數據泄露出來本來是個非常大的事件(1億條手機號碼、郵箱、身份證、家庭住址,數據集中化做得不錯,嗯),然而不像疫苗那樣子在朋友圈刷屏,大家都已經麻木了,仿佛數據不泄露才是新聞。
經濟在發展,根據裙長理論(Hemline theory),女人的裙子越來越短;科技在發展,以前兩個人異地基本上就相當于老死不相往來了,現在看他的朋友圈你基本上還是感覺仿佛還在你身邊。這是一個慢慢把我們信息往外泄露的進程,也是所有人慢慢適應隱私不再是隱私的過程。等最后所有人都麻木了,社會就進化完成了。而那些不適應的人就要被進化論優勝劣汰自然消失了。
我認為在目前科技水平發展下,社會最終是進化到所有人沒有任何隱私,隱私這個詞將從字典里消失。從信息系統大數據層面看你,就像你看地球上到處亂跑的其他動物一樣一覽無余。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
