【雙重標準】Scotiabank教客戶用密碼 自己存GitHub反而唔用

平常一聽到同銀行有關嘅運作程序，一定覺得會安全到不得了㗎啦，但接二連三嘅事實話俾大家知，無論間公司有幾大，規管有幾嚴謹，都一定會有「濕滑」嘅員工。加拿大最大銀行 Scotiabank（加拿大豐業銀行）近日被揭發出低級網絡安全錯誤，低級嘅程度更直逼「布偶級」（muppet-grade），大家明啦！

日前網絡安全研究員 Jason Coulls 揭發，加拿大 Scotiabank 喺 GitHub 嘅儲存庫竟然存有未受保護嘅檔案，當中有外幣匯率 SQL 數據庫系統嘅軟件藍圖及 access key、手機應用軟件程式碼，後台服務及數據庫實例嘅登錄憑證、原始編碼等，簡直係黑客金庫。

Scotiabank 嘅回應當然都估到，首先話呢啲資料並不會危及客戶、員工或合作夥伴，又話已經展開調查、修復問題、移送法律資料中。而加拿大法律規定，銀行出事就要即刻通報，加拿大金融機構監管辦公室方面就已接獲通知，正密切監察事態發展。

GitHub 於去年被 Microsoft 收購，成一時佳話。除咗極多開發者會用，亦有唔少企業機構都會用，因此，保安係其中最大課題。有時開發人員為咗貪方便唔使次次登入，會喺開發階段將 token 放埋入去，但到推出時又唔記得拎返落嚟。最近一次經典個案就係 Samsung，將 GitLab 專案開放任睇，入面仲要有埋 AWS 嘅登入帳戶資料，簡直係將集團嘅專利技術開心些牙。而 Scotiabank 唔單只係用戶咁簡單，更係呢個生態系統嘅一部份，去年就宣布會參與 GitHub 社群嘅開放源碼發展工作。今次事件顯示咗佢哋嘅「高強度」保安水平，真係令人巧驚驚。

資料來源：https://bit.ly/2otgDtP、https://bit.ly/2kUqUOb