又一起資料外洩事件，讓我們持續關注 ! 加油 !

2015 / 06 / 01

編輯部

    環境不太好，我們不想等到真的出了大事情再來改變環境，與其坐在那邊唉聲嘆氣，不如讓更多有熱情的朋友一起重視這個議題，為了更好的未來一起努力。

    上周新聞台又在報導某家連鎖業者的會員資料在俄羅斯的網站上被發現，企業主則忙著澄清，說委外的廠商被入侵，已經要求廠商更換主機，然後在網站最新活動中刊登了一則請大家注意的消息。也許只有我們這種從事資安工作的，才會真正關注到這則新聞。一天以後，幾乎沒有任何的媒體再來追蹤這則消息。問題解決了? 大家心裡都很清楚，暫時有了解決方案，但會不會徹底執行又是另外一個議題。沒有裁罰，沒有巨額的民事損害賠償，當大眾選擇淡忘後，如果委外廠商又是高層的皇親國戚，很有可能連廠商都不會更換。

    有沒有什麼要檢討的，企業主習慣的說法會告訴我們，未來在合約中對委外要求更加明確。委外廠商怎麼說，我們會慎選我們的機房，避免類似的事件再度發生。再問下去就是加強人員的教育訓練，以便能夠及早發現相關問題。如果還有那個不識相的，繼續在外面到處亂說，小心對方律師的存證信函就會寄來，準備對你提起告訴。但是洞在什麼地方? 補了沒有? 很制式的答案會告訴你，這種太專業的技術問題，我們很難清楚的回答。或是和你說，你要列出我們改的地方，我們再來看看。再不然就是告訴你，駭客的功力實在太強，我們已經盡可能的做好，但還是被他們趁虛而入。漏洞還是存在，作業系統沒有修補還是維持原樣。SQL Injection 高風險的項目還是不改程式，甚至更消極的，就覺得自己運氣不太好，反正勇於認錯、決不改過，一咬牙又是一條英雄好漢，這個議題大家都不在乎，我花那麼多時間精力幹麻?

    想要做些事的資安人員，很多時後會得到這樣的答案，那是別人家發生的，我們沒事就好。或是被潑了一頭冷水，不要把事情想得太複雜，其實沒有那麼嚴重。如果想要趁這個機會進行改革，很多主管問的第一個問題是其他家怎麼做，是不是一定要做? 如果不做會不會被罰? 還是我們只要意思性的做一下就好。甚至還有同事會嫌你不專業，也不會寫程式，也不會管系統，只會在狐假虎威。但是如果異地而處，今天發生事情的是我們單位，那資安人員肯定是第一個犧牲者，你要堅持你的專業，這些事情我們就是不懂，不然為什麼要請你來，你為什麼都不說，你知不知道你的工作很重要啊。如果遇到不重視的高層，甚至還要面對被冷凍或調職的風險，有多少的資安人員會為了堅持自己的理想而放棄一家大小的生計呢?

    環境不太好，我們不想等到真的出了大事情再來改變環境，與其坐在那邊唉聲嘆氣，不如讓更多有熱情的朋友一起重視這個議題，為了更好的未來一起努力。

資安 SQL Injection