【雙重標準】Scotiabank教客戶用密碼 自己存GitHub反而唔用
平常一聽到同銀行有關嘅運作程序,一定覺得會安全到不得了㗎啦,但接二連三嘅事實話俾大家知,無論間公司有幾大,規管有幾嚴謹,都一定會有「濕滑」嘅員工。加拿大最大銀行 Scotiabank(加拿大豐業銀行)近日被揭發出低級網絡安全錯誤,低級嘅程度更直逼「布偶級」(muppet-grade),大家明啦!
日前網絡安全研究員 Jason Coulls 揭發,加拿大 Scotiabank 喺 GitHub 嘅儲存庫竟然存有未受保護嘅檔案,當中有外幣匯率 SQL 數據庫系統嘅軟件藍圖及 access key、手機應用軟件程式碼,後台服務及數據庫實例嘅登錄憑證、原始編碼等,簡直係黑客金庫。
Scotiabank 嘅回應當然都估到,首先話呢啲資料並不會危及客戶、員工或合作夥伴,又話已經展開調查、修復問題、移送法律資料中。而加拿大法律規定,銀行出事就要即刻通報,加拿大金融機構監管辦公室方面就已接獲通知,正密切監察事態發展。
GitHub 於去年被 Microsoft 收購,成一時佳話。除咗極多開發者會用,亦有唔少企業機構都會用,因此,保安係其中最大課題。有時開發人員為咗貪方便唔使次次登入,會喺開發階段將 token 放埋入去,但到推出時又唔記得拎返落嚟。最近一次經典個案就係 Samsung,將 GitLab 專案開放任睇,入面仲要有埋 AWS 嘅登入帳戶資料,簡直係將集團嘅專利技術開心些牙。而 Scotiabank 唔單只係用戶咁簡單,更係呢個生態系統嘅一部份,去年就宣布會參與 GitHub 社群嘅開放源碼發展工作。今次事件顯示咗佢哋嘅「高強度」保安水平,真係令人巧驚驚。
資料來源:https://bit.ly/2otgDtP、https://bit.ly/2kUqUOb