企业高管因低级错误导致公司70GB数据泄露

2024-10-31 245

这位因Bug而走红的公司高管是全球开源社交媒体网站Gab的CTO。据报道，上周末，黑客通过SQL注入漏洞入侵Gab官网，窃取了1.5万用户的数据。包括一些名人(如特朗普)在内的70GB信息数据被泄露，公司被黑客勒索50万美元。

没想到，在Gab内部进行了一次安全审查后，发现导致这一悲剧的漏洞其实来自刚入职不到半年的CTO提交的代码。

据外媒报道，在看了Gab提交的git commit后发现，今年2月，一个叫Fosco Marotto的开发者提交了一个代码。

这段代码有一个明显的错误，初学者往往很容易犯。也就是说，在第23行代码中，“拒绝”和“过滤”代码被拆分。这两个API函数最初是用来拦截SQL注入漏洞攻击的。而这个Fosco Marotto是Gab公司的CTO。

目前，允许黑客利用的这部分代码已经被删除，但许多专家批评了该公司事后删除git commit的行为。Gab作为一个创业型开源社交网络服务平台，一度被认为是推特的替代品。所以直接删除了提交的代码，没有任何解释，在业内引起了很大争议。

"这一删除违反了‘分支源守则必须公开透明’的条款。"还有人推测，这一次CTO故意泄露数据。

不久之后，Fosco Marotto本人在HackerNews上发表了个人声明。他表示，“他有生以来第一次受到死亡威胁”，同时辩称“没有证据表明提交的代码与此次黑客攻击有任何直接联系”。

不过话说回来，这次事件的罪魁祸首Fosco Marotto，真的不是“水货商”。他有23年的开发经验，最后一个被雇佣的公司是Facebook。

不得不说，这确实是糟糕的代码，但更让人惊讶的是，这是一位经验丰富的前Facebook工程师写的。具有讽刺意味的是，2012年，Fosco Marotto提醒其他程序员使用参数化查询来防止SQL注入漏洞。显然，Gab没有雇佣最优秀最聪明的CTO。

到目前为止，根据GAB的git commit，Gab的开发人员也在尝试修复其易受攻击的代码，但没有成功。

【编辑推荐】安企神软件系统加密软件–企业文档图纸保密专家！防拷贝复制、防泄露泄密！轻松实现单位内部文件自动加密保护，加密后的文件在单位内部正常流转使用。

未经许可，任何私自拷贝加密文件外发出去，都将打开为乱码，无法使用！对于发送给客户等第三方的文件，可实现控制打开时间和打开次数等防泄密参数！同时可设置对员工电脑文件自动备份，防止恶意删除造成核心数据的遗失！从源头防止企业核心文件被外泄！

上一篇 : 2021年首季度国内外数据泄露事件盘点

下一篇 : 保护云服务器敏感数据的3种优秀实践