jeffyeh

最近看新聞或電子報,都在提資安問題,這個也不是最近才在提,而是已經提很久了.

然而,最近所發生的這些資安問題,都是一些購物網站的資料外流.

換個角度來說,從新聞上得知,駭客並不是取得了使用者的帳號及密碼,直接登入.

而是改採"試"密碼的方式,進行登入,也就是重覆的登入,一直試不同的密碼,一直到成功.

成功後,再到其它網站去試這組密碼.

從使用者的角度來看,這不外乎是懶人密碼所導致,最常被使用的密碼幾乎是生日或身份字號等.

一個密碼"世界通",不管什麼地方的密碼都用同一個.

而一些"網站"的會員申請加入,這些個人資訊都必需輸入.

但有資安管理背景的網站卻不多,畢竟資安的投入經費與人力,不是一個小數目.

因此,被試到密碼的機率就自然提升.

所以有時在申請加入會員時,心中總不免揚起一個小惡魔,填假資料就好,避免個人資料外流.

有時習慣測試網站的密碼加密功能,故意"遺忘"密碼,重新申請一個新密碼.

從密碼重寄的信中,如果看到的密碼通知與我當初設定的密碼相同,即代表我的密碼是可被"還原"的.

危險性自然較高.

如果新密碼與原密碼不同,或許是不可還原,但也可能是可還原,這點較難以證實.

不管如何,至少比寄相同的好.

不過不管如何,如何保護自己的個人資料不外流,除了網站有這個責任外,使用者也是同樣負有責任.

前面提到的是使用者部份,但最近有遇到一個案子,讓我冒了一身冷汗.

話說公司的人資系統是外購的,並不是公司自行開發的系統.

日前該軟體開發公司向我們公司的人資單位要資料庫的資料. 理由是他們需要測試.

因為人資不會用,所以請由我們協助處理.

協助處理的同仁相當熟練,沒多久就把資料庫備出來,廠商拿到檔案後,直接還原即可.

聽到這樣的處理方式後,效率好,固然是要拍拍手,但怎麼可以就這樣把人事資料就這樣的給別人,而且還是全公司所有人的資料?

還好發現的早,所以在提供前,把一些重要資料全部改掉.

雖然最後給廠商的資料是修改後的,但其實我們應該還是不需要提供這樣的資料.

我相信廠商絕對有同樣的資料可以進行開發與測試.

並不需要我們提供公司的人事資料.

況且,就算我們與公司簽有保密合約或什麼的,但該公司的基層人員資料管理觀念不見得有到位.

還是很有可能被該公司的基層人員把資料"帶回家".

有些公司於面試時,希望應徵的人能夠展示個人作品,說真的,如果展示出客戶或自己公司資料的應徵人員,就應該要被打屁股,因為這不就直接的告訴別人,嘿,我會A公司的資料出來哦. 你看,這些資料就是我A出來的,很齊全吧. 而這系統也是公司的哦. 原始碼在這! (我想,很少有人一手完成整套系統,大多是團隊合作,或是長久以來的努力與改善所累積下來的,如果用這個來當個人作品展示,只是額外的突顯你個人的操守問題)

總之,很多的資料外流,不見得是駭客所為,如果平時能多注意一點,被盜用的風險,自然就少一點.