使用公开GitHub,舍不得买会员私有托管。不建自己的私有Gitlab。
使用公开的仓库,源代码被人审计,信息泄露。
密码传输到Git。敏感信息传入Git是不允许的,Git就像区块链,数据传入后是很难删除掉的。我没去研究如何干净删除Git的某个版本,因为我还没遇到过,如果已经传入的敏感信息密码是随机的,没有在其他地方使用的,更新即可。敏感信息不允许被传入版本控制系统,Log服务器。一般的机制是密码使用环境变量注入,或者写到配置文件,配置文件名放到.gitignore里,同时提供一个模板方便其他开发者拷贝快速建立。
数据库没有防火墙保护,放在公网。
MySQL账户名是root,密码是弱密码123456。多个不同安全级别的数据库之间没有隔离。
数据大量泄露(53G+22G+66G=141G)没有被IDS等流量分析工具预警。
可以看出华住基本上没有任何安全防护,不从这里泄露,也一定可以从其他地方泄露。
安全是成本
我们谈安全都是谈成本,愿意投入多少资源可以达到哪个安全级别。 我们谈安全还谈集中,集中才能降低成本。然而集中这个在酒店业有点难,我不是太了解酒店业IT系统,但是推测除了订房等可以通过OTA云服务器,很多的监控、门禁、消防、WIFI等操作都必须在酒店内放一台服务器。而且很多还是民宿,成本已经很低了,怎么再来谈安全。想要提高安全,可以从羊身上薅羊毛,住宿费百分多少直接提到安全专项经费里,这个短期内会增加成本,长期来看应该可以提升竞争力,等等,华住会破产么?其他酒店会开始关注IT系统安全么?我觉得不会,酒店业还有更多的卫生等成本需要考虑。
哪个酒店会广告说:保证开房数据不被泄露?不被泄露唯一的办法就是数据定期删除,真正在世界上消失。从备份删除,从Log删除。现在存储太便宜了,又有大数据分析的需求。我记得20年前某大学BBS系统硬盘空间不足了删信删用户删文章,这在现在看起来是很难想象的。从和尚事件得知短信可以从运营商处调取,保存50年,微信信息?应该也是参照这个标准吧。 如果你没有能力保护她,就放手吧。 匹夫无罪,怀璧其罪。
数据可以参照欧盟《一般数据保护条例》(GDPR)让用户主动删除或者定期清理,这需要对酒店业的IT系统做很大改变,我住的酒店不多,但是我还没看到哪个系统能让我登录上去查阅我的住宿记录的,更别说下载到本地后远程删除了。当然数据必须保留一段时间以接受监管部门的查阅。从滴滴顺风车事件来看,公众为了安全,希望有一个安全部门能够调阅任何人的信息。
请开始适应你的信息公开
社会在慢慢进化,这次数据泄露出来本来是个非常大的事件(1亿条手机号码、邮箱、身份证、家庭住址,数据集中化做得不错,嗯),然而不像疫苗那样子在朋友圈刷屏,大家都已经麻木了,仿佛数据不泄露才是新闻。
经济在发展,根据裙长理论(Hemline theory),女人的裙子越来越短;科技在发展,以前两个人异地基本上就相当于老死不相往来了,现在看他的朋友圈你基本上还是感觉仿佛还在你身边。这是一个慢慢把我们信息往外泄露的进程,也是所有人慢慢适应隐私不再是隐私的过程。等最后所有人都麻木了,社会就进化完成了。而那些不适应的人就要被进化论优胜劣汰自然消失了。
我认为在目前科技水平发展下,社会最终是进化到所有人没有任何隐私,隐私这个词将从字典里消失。从信息系统大数据层面看你,就像你看地球上到处乱跑的其他动物一样一览无余。
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。