最近在招聘设计师,碰到了一件事,让我还挺惊讶的。因为仔细想想,我并没有办法确定身边是否存在这种事情。

一定是平时微信公众号看太多了,即兴落笔的第一句就写得很标题党,所以到底是什么事情?

简单的来说,就是最近在招UI设计师,有位求职者把上家公司的 CRM 后台地址和密码,直接写在简历中了。

本还以为是测试环境,登录后发现销量、用户、订单、渠道、工单等核心数据一应俱全。

这里简称S公司,主营数码电子产品。

S公司的实时销售额曲线图

我自己也用过这家公司产品,感觉还略微亲切。虽然谈不上是非常知名的大型企业,但也算耳熟能详。

特意百度了一下,原来还是新三板挂牌公司,2015年挂牌。

7月最高单日销售额接近100万

我竟然就这么碰巧地拿到了一个新三板公司的全网销售数据?

再仔细翻了一遍,整个后台包含了如下数据:

  • 2014 年至今近四年的全网订单数据,及各种维度分析
  • 797335 条会员信息,包含用户名、手机、地址、邮箱等
  • 40149 条个人发票记录,包含买家姓名、手机
  • 22680 条公司发票记录,包含公司名称、手机
  • 20 多个主要电商旗舰店与专营店的销量排行
  • 20399 条工单记录

从这些数据基本就能把S公司这几年的销售情况、产品分布、渠道政策摸个透,更重要的还是那几十万条用户信息,可以做的事情就更多了,如果我想做的话。

新人职业素养

幸好不是同行竞品,要不然我拿着这些数据不得笑死了。但说不定这位求职者也给竞品公司投过简历呢。

所以不禁诧异,现在年轻人的职业素养呢?

然后我又仔细看了他的简历,26岁,本科,从大三实习至今共5年时间,都在这家S公司工作,所以肯定也经历了2015年新三板挂牌的阶段性辉煌时刻。以UI岗位为主,有时也兼任PM角色,整个 CRM 从需求到交互应该就是他主导的,所以才做为作品放在了简历中。

简历中直接写出后台地址与密码

请注意上图的红框文字,他可能认为只要不乱改东西,看看数据其实没什么问题。

PS:因后台项目涉及客户商业利益,请不要进行任何功能性操作。

按道理说5年经验的老员工,怎么还会有意识的犯下这种低级错误?或者说是“准上市”公司的数据安全意识,竟然也如此薄弱?

数据安全意识

不同于传统的盗窃行为——东西被偷了就会少掉,薅羊毛迟早会发现。如果是信息数据被窃取,几乎不会留下明显的痕迹,等到发现异常后往往都为时晚矣。

比较常规的数据安全措施有以下几条建议,可供参考:

  • 加强员工信息安全意识,提高职业素养
  • 宣讲泄密行为可能承担的法律责任,提前警示预防
  • 完善信息安全技术手段,增加人为泄密难度
  • 严格规范机密数据的操作权限,健全核查机制

以上每条都是一个长期且艰巨的任务,可以逐步建设并完善,但不能完全没有这方面的防范意识。

虽然就算是公司里有了成熟规范的数据安全措施,也只能是在一定程度上预防,如果是人为的蓄意泄密,那怎么也防不了

比如前段时间的这条新闻《苹果前员工盗取无人车研发机密,回中国前被抓》,即便是 Apple 公司这样的科技巨头,仍然无法从技术上,有效杜绝核心技术资料被人为蓄意窃取的行为。如新闻中提到的,也只是由于上级对这名员工生疑,才启动了安全调查,才最终发现他“违反公司规定进入实验室,下载了一些公司数据到个人电脑上,并且带着一盒硬件离开了公司”。

那么,还有那么多不知不觉的泄密行为呢?

就如同上面的S公司,到现在都还没发现,全网销售数据、用户信息被一个离职员工“无意识”地给公开出去了。