夜雨聆风近日,全球最大的代码托管平台GitHub出了件大事。
一群黑客,搞了一个伪装成“VS Code扩展”的恶意文件——VS Code是程序员最常用的开发工具,扩展就像浏览器插件,装了能加功能。他们把这个假插件发布到官方市场,一名GitHub员工不小心装上了。
就这么一个安装动作,黑客拿到了员工电脑的控制权,顺走了GitHub内部约3800个代码仓库的源代码。随后,他们公开叫卖,开价5万美元,还放话“没人买就免费公开”。
虽然官方说客户数据没受影响,但自己家的源码被人打包带走,这脸打得啪啪响
。
01
为什么不能随意安装插件?
这个案例告诉我们:插件不是你想装,想装就能装。
为什么?安叔来详细解释一下:
插件权限很大:像VS Code、浏览器、办公软件的插件,往往能读取你电脑上的文件、访问你的剪贴板、甚至记录你敲的键盘。
官方市场≠绝对安全:黑客能把恶意插件上传到官方商店,普通用户根本分辨不出真假。GitHub员工都中招了,何况我们?
一个插件,全盘皆输:装了恶意插件,黑客不光能偷你电脑里的文件,还能用你的账号发邮件、传资料、甚至攻击公司内网。
安叔提醒:不管你是程序员还是普通员工,装任何插件前,问自己三个问题:
这个插件我真的需要吗?
它来自官方或可信的开发者吗?
它的权限是不是要太多了?
02
为啥不建议把文件存到三方平台?
这次GitHub虽然没泄露客户数据,但安叔必须提醒大家:不要把公司的核心代码、客户名单、合同草案等重要文件,随便存到第三方平台。
为什么?
首先,你的数据存在别人服务器上,你不知道它有没有加密、管理员能不能看、会不会被拖库;
其次,如果你用个人账号登录网盘、代码仓、在线文档,一旦账号被盗,里面的东西全成了黑客的“战利品”;
最后,平台自己也会出问题。就像这次GitHub,内部系统被攻破,源码都能被偷。你能保证你用的那个平台永远不出事?
安叔建议:
❏ 公司的重要数据,用公司自己部署的系统或经过安全审计的官方平台存储。
❏ 个人用的网盘、在线文档,别放工作文件。
03
安叔说句实在话
GitHub被黑这件事,看着是程序员的“专业事故”,但背后的道理,每个员工都该听听:
第一,安全没有“局外人”。 你觉得“我是普通员工,黑客不会盯我”。但攻击往往是“广撒网”,一个假插件、一封钓鱼邮件,谁点谁倒霉。GitHub员工不也被骗了吗?
第二,工具越方便,风险越隐蔽。 插件、扩展、小工具,确实能提高效率。但每装一个,你就多开了一扇“门”。
第三,数据和代码,是公司的命根子。 不要为了自己方便,把重要数据随便交给第三方。公司的安全制度,不是为难你,而是在保护你。
一句话收尾:你可以不是安全专家,但你一定要有安全意识!!!!
往期推荐
| |||
| |||
| |||
|
