Esta filtración de datos me recuerda algo que viví en mi anterior empresa. Vi cómo se vulneraban las contraseñas de los empleados, lo que llevó a hackers a explotar los datos y el código de la empresa con fines maliciosos. Esta fue una noticia importante en 2017; puedes buscarla. Ser despedido en esta situación era un delito menor; algunos incluso fueron a la cárcel.
Posteriormente, me transfirieron al equipo de seguridad para abordar esta vulnerabilidad. Para abordar problemas similares, desarrollamos un programa en Python. Configuramos manualmente algunas palabras clave relacionadas con la empresa y buscamos a diario en las API de sitios como Github. Si encontrábamos información relacionada con la empresa, enviábamos inmediatamente una alerta por correo electrónico y la revisábamos manualmente. Les sorprendería saber que, con una estrategia tan sencilla, seguíamos descubriendo filtraciones casi cada dos meses.
Esto no requiere alta tecnología. Cualquier empresa, mediana o grande, debería contar con un sistema de este tipo para protegerse. CSDN, como plataforma, debería contar con un mecanismo de detección para recordar a los autores. Github ya está implementando algunas iniciativas.
Creo que muchos desarrolladores tienen muy poca conciencia de seguridad. No entienden qué debe mantenerse confidencial, no entienden la diferencia entre claves privadas y públicas, e incluso no saben usar bien Git. Tras descubrir la contraseña, envían una confirmación para eliminarla. ¡Qué demonios!... 4/n
He escrito un artículo antcatcoding.me/p/avoid-mistak…[Hablando de errores en el trabajo](https://t.co/2TccYUbe0B), pero no es lo suficientemente completo. La seguridad es un tema muy amplio, así que aquí tienes algunos casos prácticos como referencia. Mantén una actitud respetuosa hacia tu trabajo, especialmente cuando tu código y tu trabajo afectan a muchos usuarios. Incluso un pequeño error puede causar daños considerables.
La capacitación en seguridad también es obligatoria, tanto al incorporarse como periódicamente después. Incluso los principios de seguridad más sencillos deben inculcarse constantemente a los empleados. Para una empresa, el obstáculo más bajo es aquel contra el que hay que protegerse. Una vez que la plantilla alcanza cierto nivel, es imposible saber dónde está el límite inferior de empleados.
Seguiré escribiendo sobre lo que se me ocurra. Cabe destacar que no mencioné el nombre de la empresa. Este problema de seguridad es una falla grave. Los productos de la empresa se venden principalmente en EE. UU., gracias a la sólida cadena de suministro de Shenzhen y a su experiencia tecnológica previa. Los estadounidenses no son tan buenos fabricando productos similares. Por lo tanto, esta filtración de datos ha sido constantemente cuestionada, y con la guerra comercial entre EE. UU. y China, China también exige que los datos no se almacenen en servidores estadounidenses. 6/n
Durante esos dos o tres años, como departamento de internet de una empresa de hardware, dedicamos la mayor parte del tiempo a solucionar, rectificar y reparar vulnerabilidades. Redujimos gradualmente el uso de Amazon y migramos todo lo posible a Alibaba Cloud, utilizando también los servidores de Alibaba en el extranjero. Incluso nos preparamos para el peor escenario posible: si todos los servidores de EE. UU. se cerraban, ya habíamos desplegado un conjunto de servidores en los nodos de Alibaba Cloud en Europa.
Siempre se rumoreó que nuestra empresa estaba en la lista negra de EE. UU., pero no se incluyó oficialmente hasta que finalmente nos incluyeron. Así que, durante ese período, la empresa se encontraba en estado de pánico, sometiéndose a rondas de rectificación y autoevaluación.
Aunque estaba exhausto, la guerra comercial de aquel entonces me motivó a trabajar, porque sentía que estaba viviendo un momento histórico excepcional. De hecho, si recuerdo la guerra comercial dentro de unos años, seguramente recordaré la sensación de arrastrar mi cuerpo exhausto a casa y tumbarme.
Hablemos de seguridad. Dado que el negocio principal de nuestra empresa es el hardware, naturalmente necesitábamos adquirir herramientas y protección de seguridad de red, un proceso en el que invertí mucho tiempo. Fui responsable de evaluar los productos y colaborar con los proveedores externos para implementarlos. Durante este proceso, me di cuenta de lo tacaños que pueden ser estos proveedores de seguridad, a pesar de ser un proveedor propio tan poderoso. Por supuesto, desde la perspectiva de la empresa, esta tacañería es necesaria; también necesitamos ahorrar costos.
Lo que más me disgusta es la práctica de aprovecharse de la reputación de la propia empresa. Muchos fabricantes esperan aprovechar esta ventaja, eliminando significativamente a los fabricantes externos. Los periodos de prueba de los productos se extienden repetidamente, a veces incluso durante casi un año y medio, sin siquiera pasar por el proceso de compra. Cuando las pruebas ya no están disponibles, se debe iniciar el proceso de compra, con tres o cuatro empresas para elegir. Es comprensible que algunas estén destinadas a ser carne de cañón.
Tomemos como ejemplo el escaneo de códigos. Esta herramienta la ofrecen numerosos fabricantes, tanto nacionales como internacionales. Naturalmente, descartamos las extranjeras, pero las nacionales las fabricaban tanto grandes empresas como startups. Probé dos productos de ambas compañías durante al menos un año, y cuando me dio vergüenza enviarles un correo electrónico para extender el periodo de prueba, finalmente decidí comprarlo. Tras una larga negociación y regateos por otros canales, el precio final fue tan bajo que no podía creerlo. 12/n
Digámoslo así: el precio de este conjunto de herramientas de seguridad equivale aproximadamente al salario mensual de un ingeniero de desarrollo de seguridad de nivel medio. Imagínense lo abrumador que fue para la Parte B, después de una negociación tan larga y ardua y la enorme cantidad de personal involucrado en nuestra prueba, aceptar finalmente este precio. Pero tener un acuerdo siempre es mejor que no tenerlo, ¿verdad? Al final, firmamos el acuerdo. 13/n
Durante este proceso, mis colegas y yo también experimentamos la servidumbre del mercado de segunda mano, en parte realmente sutil. Por ejemplo, al ver que a mi colega le gustaban los perros, una vendedora lo invitó a correr y a pasear al perro los fines de semana, y otra vendedora lo invitó a tomar un café por la tarde, y así sucesivamente. Por supuesto, todos éramos programadores esforzados y tímidos.
Así que es comprensible la cantidad de tentaciones que debieron enfrentar los empleados del departamento de compras. Un año, varios empleados del departamento fueron arrestados y encarcelados. Muchos aceptaron sobornos de proveedores, mientras que otros manipularon a la empresa y vendieron productos de baja calidad. Más tarde, supe que la capacitación inicial del departamento de compras incluía una visita a la cárcel.
Es difícil para una empresa tomarse la seguridad en serio si no ha sufrido pérdidas en el pasado. La empresa para la que trabajaba entonces había sido un unicornio durante muchos años, reconocida tanto a nivel nacional como internacional. Pero antes de este grave incidente de seguridad, su gestión de la seguridad era bastante deficiente. Y ese era el nivel de lo que una empresa que se proclamaba tecnológicamente innovadora podía lograr. Imaginen el nivel de seguridad en los departamentos gubernamentales.