从锤子科技员工泄漏新机销量，看企业 GitHub 安全防治

就在昨天，有网友在GitHub上发现一个锤子科技员工账号上传的个人项目，里边包含许多公司内部日常工作使用的脚本代码。

这个项目里最敏感的是几份6月15日的表格文件，有锤子科技对旗下最新款手机坚果Pro的用户调研统计（result.csv），大约一万多条记录；还有坚果Pro的用户ID、IMEI、详细型号关系表格（odin.csv），共二十万七千多条记录。据网友猜测可能是IMEI激活记录，按锤科“激活不退”原则，基本等同手机当时实际销量。

新产品销量是一家公司的绝密数据，除非是营销需要，否则任何公司都不会主动对外公布。由于锤子科技和创始人本身颇具话题争议，这起很寻常的GitHub泄密事件在知乎微博上被热议，变成了公司的公关噩梦。

GitHub泄露如何防治？

作为专业信息安全新媒体，嘶吼刚看到这个事情时还是比较吃惊的。锤子科技过去几年安全方面投入不少，有做安全的人、也有预算，上过多次安全测试服务，没想到在GitHub上开张栽了跟头。

这里明显有两个问题：

1、不清楚该员工有意还是无意，但锤科内部的员工安全教育和管理应该是有纰漏的

2、锤科安全对GitHub的监控不够到位，从备份项目看这位员工应该是前天上传的项目，如果监控到位可能有补救机会

前一点没啥好说的，有机会嘶吼会做一个宣传专题；后一点就是安全团队多上心，把GitHub监控做好。

对于没有经验的安全团队，可以参考现成的开源项目来开发，例如@0xbug的Hawkeye。如果自己暂时没法弄，也可以找安全公司购买相关服务。

员工GitHub泄密的危害可小可大，锤子科技这个不算什么，某些公司因为员工无意上传敏感信息，用户数据被拖、服务器被控制才难受呢。大家一定要小心谨慎。