從鎚子科技員工泄漏新機銷量，看企業 GitHub 安全防治

又一個超經典的企業機密信息泄露事故。

就在昨天，有網友在GitHub上發現一個鎚子科技員工賬號上傳的個人項目，裡邊包含許多公司內部日常工作使用的腳本代碼。

這個項目里最敏感的是幾份6月15日的表格文件，有鎚子科技對旗下最新款手機堅果Pro的用戶調研統計（result.csv），大約一萬多條記錄；還有堅果Pro的用戶ID、IMEI、詳細型號關係表格（odin.csv），共二十萬七千多條記錄。據網友猜測可能是IMEI激活記錄，按錘科「激活不退」原則，基本等同手機當時實際銷量。

新產品銷量是一家公司的絕密數據，除非是營銷需要，否則任何公司都不會主動對外公布。由於鎚子科技和創始人本身頗具話題爭議，這起很尋常的GitHub泄密事件在知乎微博上被熱議，變成了公司的公關噩夢。

GitHub泄露如何防治？

作為專業信息安全新媒體，嘶吼剛看到這個事情時還是比較吃驚的。鎚子科技過去幾年安全方面投入不少，有做安全的人、也有預算，上過多次安全測試服務，沒想到在GitHub上開張栽了跟頭。

這裡明顯有兩個問題：

1、不清楚該員工有意還是無意，但錘科內部的員工安全教育和管理應該是有紕漏的

2、錘科安全對GitHub的監控不夠到位，從備份項目看這位員工應該是前天上傳的項目，如果監控到位可能有補救機會

前一點沒啥好說的，有機會嘶吼會做一個宣傳專題；後一點就是安全團隊多上心，把GitHub監控做好。

對於沒有經驗的安全團隊，可以參考現成的開源項目來開發，例如@0xbug的Hawkeye。如果自己暫時沒法弄，也可以找安全公司購買相關服務。

員工GitHub泄密的危害可小可大，鎚子科技這個不算什麼，某些公司因為員工無意上傳敏感信息，用戶數據被拖、伺服器被控制才難受呢。大家一定要小心謹慎。

點擊展開全文

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！