北京
我曾经在
北京的一家大型建筑集团工作,期间发现了一个系统漏洞,这个漏洞非常值得注意。具体是怎么回事?让我详细说明一下。首先,这家集团有一个系统A,这是一个用来管理人事信息的系统,要求用
身份证号码登录,密码设置得比较复杂,通常是
身份证后几位数字之类的格式。如果单位无法收集齐全所有人的
身份证号,那这些人就很难正常登录系统A,这已经给部分用户带来了麻烦。同时,还有一个系统B,是用于办公和印章管理的。它的登录方式非常简单,用户名只需要输入姓名的拼音,而密码居然只是一个数字1。通过这个极其简单的认证机制,你就能进入系统B,并且在其中查看到整个集团几乎所有员工的信息,比如谁在哪一家子
公司、哪一个项目部工作等。原本系统B只是一个用于申请使用
公司印章的小工具,按道理说它应该没有太多敏感功能,毕竟任何操作都需要
领导审批。然而问题来了——在这个系统里竟然嵌入了一个人事系统的入口,可以直接跳转到系统A,而且完全不需要额外的身份验证!就这么简单地从B跳到了A。利用这个漏洞,我成功地从系统B进入了系统A。然后我发现,系统A中存储了大量的个人隐私信息,包括工资数额、
照片、
身份证号,以及这个人入职之后的所有相关记录。这简直是隐私保护方面的一个重大隐患。出于好奇,我还查阅了一些数据,大致了解了各个二级
公司的薪资水平。我不仅看到了各级管理人员(正职和副职)的工资情况,也知道了普通员工的收入状况。经过一番思考,我重新评估了自己的职业定位和发展前景。说实话,在我所在的那个二级单位,对像我这样的普通员工其实已经算不错了,待遇处于相对较高的水平。尽管如此,最终我还是选择了离职。今年建筑业整体环境不佳,我感觉自己的决定是正确的。这件事让我明白一个道理:不要盲目相信大企业的管理水平有多么优秀。实际上,这些企业内部可能存在着各种各样的漏洞,除了日常业务之外,管理层可能根本没有意识到这些问题的存在。等到真正出问题的时候,甚至都不知道问题究竟出在哪里。
