四种严重泄漏公司数据的行为

几个小故事告诉你敏感信息究竟有多么容易泄漏至公众视野

如果你在朋友圈上晒了一张周杰伦的演唱会门票,到后来才发现忘了遮挡住条形码,那就倒霉了——可能已经有人用着你的条形码代替你去看周董的演唱会了。其实即使你遮挡了条形码,但如果用错了工具,这样悲催的事情还会可能发生。

尽管如此,记得在晒门票时掩盖条形码并非什么难事,然而晒图时压根没有意识到图中有票据或者写有密码的便利贴就是另一回事了。这里就有几种人们无意间在网上公开了机密数据的情况。

1. 图片背景里带有密码

办公室里拍摄的图片和视频泄漏密码和秘密的可能性远超你的想象。当给同事拍照时,人们很少注意到照片的背景,这样的结果可能会十分尴尬,甚至带来危险。

军事情报

英国皇家空军在2012年就尴尬了一回,在一张报导威廉王子空军服役的图片中,军用飞行情报发布网站(MilFLIP)的登录信息直接被公开了。这位剑桥公爵身后的墙上贴了一张印有用户名和密码的纸条。

密码在英国皇室官方网站公开后不久,图片便被替换为一张修正过的版本,密码也被重新修改,而此后是否有密码再次被无意中贴在墙上我们不得而知。

威廉王子遇到的这次”事故”并不罕见,无论是否有媒体报道的推波助澜,有些军事职员也会不慎在网络上泄漏机密。例如,某官员就曾在社交网络上晒出过一张自拍照,背景里的显示器上就含有机密信息,最终这位军人在接受”再教育和培训”后被从轻发落。

直播事故

法国电视公司TV5Monde在2015年遭受了一次网络攻击,不明攻击者入侵了公司网站并篡改了其脸书主页,还导致节目中断了几小时。

接下来发生的事情则成为了一场闹剧,一位TV5Monde的工作人员接受了记者关于这次攻击的采访,而采访背景则是公司在社交媒体平台的密码信息。图片中的文字虽然难以辨认,但是坚持不懈的攻击者还是获取了TV5Monde公司YouTube账号的密码。

巧合的是,这次事件也给大家上了一课如何避免选取不安全的密码:电视公司密码安全问题的答案竟然是”lemotdepassedeyoutube”,翻译成英语正是”youtubepassword”!幸运的是,公司的YouTube等社交账号并未受到损害,不过这次”密码背景”的故事也让人们怀疑最开始的那次攻击背后的原因。

2014年第48届超级碗也发生了类似的安全事故,体育馆内部无线网络的登录信息突然溜入了摄像师的镜头,更加讽刺的是,这个镜头来自负责赛事安全的指挥中心。

2. 使用健身追踪器

用来观测自己健康数据的设备可能会被他人利用来监视你,甚至通过你的手势来窃取你的信用卡pin码(当然后者有点不太现实)。

但不幸的是,关于机密场所地理位置的数据泄漏却是完全真实存在的。例如,拥有千万用户的健身应用程序Strava会将用户慢跑的路线公开在地图上,它曾经因此暴露了军事基地的位置。

尽管这款设备允许通过设置来隐藏路线进而避开监视,但是似乎并非所有军人用户都懂得这些技术细节。

考虑到更多数据泄漏带来的威胁,五角大楼在2018年直接禁止部署的美军使用健身追踪器。当然,这种方法对于那些不是整日待在美军基地的普通人来说可能有些过头,但是同样,我们建议你花些时间在健身应用程序中配置隐私设置。

3. 公开散播元数据

人们很容易忘记或者并不知道文件本身的信息中(或者元数据)有时藏有秘密,尤其是照片中常常含有其拍摄地点的坐标

2007年美国士兵(这似乎逐渐发展成一种趋势)在网上晒出了直升机降落在位于伊拉克的军事基地的图片,图片的元数据包含了位置的具体坐标。据称后来这些信息被用于一次敌军的袭击,并导致美国损失了四架直升机。

4. 在社交媒体过度分享

仅通过浏览一个人的好友列表,你便可以发现很多秘密。举个例子,如果特定地区的售货员突然开始出现在某公司经理的好友列表里,那么其竞争对手可以因此觉察出他们正在搜寻新市场并抢先一步将其占有。

《计算机世界》的记者Sharon Machlis在2011年做了一个通过领英网站搜集信息的实验。仅仅通过20分钟的搜索,她找到了苹果公司网上讨论会的主持人数量、公司HR部门基础设施的体制等等信息。

文章作者承认道,她并没有发现任何商业机密信息,但是苹果公司对待隐私问题的态度在行业里 是出了名的认真严格。与此同时,从领英上一位惠普公司副总裁的工作职责描述中,任何人都能看出该公司正在开发什么云服务。

如何避免不经意地泄漏数据

员工可能会无意间分享许多关于公司的信息,要想保护公司的机密信息不被公众所知,你需要设置有关网上公开信息的严格规定并通告所有同事:

  • 当拍摄图片或者视频上传至社交媒体时,确保拍摄镜头中没有不该出现的信息,同样的规定也适用于某人为你或办公室摄影或拍短片的场景。新闻记者并不在乎你的隐私问题,当密码在网络上传播时你却可能因此遭殃。你应该将拍摄地点限制在专门用作这种功能的地方,如果公司没有这样的地方,你至少应该在拍摄前检查墙壁和桌子上是否有敏感信息。
  • 即便和同事或者合作伙伴进行视频电话会议,你也应该知道身后哪些东西可以被别人看见。
  • 不要在社交网络上暴露敏感的个人和商业联系信息,请记住,竞争对手、骗子和各种不良企图的人都可以利用这些信息来攻击你。
  • 上传文件之前请删除它的元数据,在Windows计算机上你可以修改文件属性,在智能手机上有些特殊的应用程序可以帮助你。你的读者并不需要知道图片是在哪里拍摄的或者文档是在谁的计算机上创建的。
  • 在吹嘘工作上的成功之前请考虑这是否会暴露商业机密,最起码不要十分详尽地阐述你的成就,因为这并不理智。

公司员工应该十分清楚明白哪些信息属于机密以及如何处理这些机密信息,我们的安全意识培训平台有一门关于此话题的课程。

提示