事件说明
4月22日下午,互联网上出现了疑似某知名网站的后台工程源码,https://github.com/openbilibili/go-common, 短短 6小时内,fork数已经达到6k+,star 数达到 5k+。至下午17点30分左右,相关仓库被github官方关闭,并禁止访问。
随后该网站于22日晚间回应称,经内部紧急核查,确认该部分代码属于较老的历史版本。
并表示已经执行了主动防御措施,确认此事件不会影响网站安全和用户数据安全。同时已在第一时间报案,并将彻查源头。
事件影响分析
1. 公司品牌形象和股价
数据泄露必定会对公司品牌形象造成负面影响,同时该网站也是一家纳斯达克上市公司,信息泄露也会对公司股价造成一定程度的影响。
2. 合规和法律风险
纳斯达克上市公司需通过SOX审计,其中关于内部控制制度有效性条款可能会因为数据泄露问题从而不能满足,需要进行整改。
3. 网站潜在安全风险
考虑到源码里面包含的配置文件、密码及可以进一步深入分析的代码逻辑漏洞等等,公司网站被攻击和入侵的风险大大增加。
事件防范措施
为避免类似事件发生,公司安全部门一般可以从事前、事中、事后,采取相应的安全管理和安全技术手段进行防范。
1. 事前的员工保密协议和安全意识培训
员工入职时必须签订保密协议,明确说明员工工作过程中创造的代码、文档等属于公司财产,禁止任何人员非授权对外公开,如上传到github、网盘及私自拷贝到个人U盘等;
应对新入职员工进行安全意识培训,定期对公司全员进行安全意识培训,特定人员如开发人员,安全意识培训时应贴近开发人员的实际操作习惯。
公司信息安全规范中应明确禁止开发人员通过任何方式外传公司代码,如上传到github。
2. 事中的安全检查
安全部门同时应采取如使用特定工具,定期扫描github仓库上的公司中英文名称等关键字,或部署DLP设备等方法,以便及时发现公司源码泄露问题,并尽快处理。
3. 事后的安全处罚
对于违规外泄公司源码的开发人员,应明确处罚机制,严重者予以开除并追究法律责任。
4. 事后的安全事件处理流程
另外安全、法务、宣传等部门,应在事前明确不同安全事件的处置流程,如根据不同安全事件类型及时对外发布公司声明、通告、最新调查进展和处理结果等,以保持安全事态可控,避免误传、谣言等对公司形象和股价等方面的不良影响。
github代码泄露检查工具(任何人都可以免费使用!)
如您对公司代码是否已经通过github泄露表示担忧,新钛云服安全团队也在第一时间上线了github代码泄露检查工具,请在浏览器中访问https://www.tyun.cn/github-scan.html 并通过贵公司的个人邮箱注册后使用。
新钛云服安全团队介绍:
新钛云服拥有自研的安全产品TiSec,新钛云服安全团队拥有多名经验丰富的安全专家,拥有丰富的IT行业安全咨询、安全技术和安全管理经验,拥有安全行业CISSP、CISA认证。团队成员处理过互联网公司各类安全问题,包括信息基础架构安全,应用架构和代码安全,应用运维安全,数据安全和灾难恢复等。
新钛云服安全团队熟悉ISO17799、等级保护、PCI-DSS、SOX等信息安全标准规范,具有支付牌照、等级保护、PCI认证的申请、实施和年审经验。
来源:freebuf.com 2019-04-23 15:46:18 by: j0hnShi
请登录后发表评论
注册