
8名印度籍技术员工锁库48小时,比“打不开”更值得追问的是什么?
6月30日,网传上海张江一家软件公司被8名印度籍技术员工锁死了全部代码库,花了将近两天才夺回控制权。但这事儿真正该关心的,不是那家公司倒不倒霉——而是这家公司做的是商业软件系统外包。你单位用的审批流、你手机里某个企业应用、甚至你填过身份证号的业务平台,底层代码就在那两天被锁死的服务器里躺着。
先别急着站队。问一个更本质的问题:那8个人手握最高权限将近48小时,能干的事远不止“锁门”。
批量导出全部源码,十分钟。拖走数据库结构,五分钟。复制API密钥和客户信息,点几下鼠标。公司事后查了操作日志,但查不了那8个人的私人设备和外部存储。“代码回来了”是事实,“数据有没有被复制走”是另一个事实——在缺乏独立第三方审计的情况下,后者不会有确切答案。当然,目前这只是理论上的风险。绝大多数正规外包企业落实了分级权限、数据加密和操作审计,只有内控完全失效的极小部分不规范小企业才存在这种隐患。但问题是,这家公司恰恰连权限分级都没做。
用人方把最高权限交给一个入职几个月的新人,连双人复核、操作留痕都没设。这不是针对哪个国籍的偏见,这是任何一个技术团队都不能犯的低级错误。核心代码被8个人垄断了几个月,40个本土程序员连底层代码都摸不到。问题不在于是哪国人,而在于“谁在写代码”这件事,连客户都不知道。
更要命的是,我国《数据安全法》第二十七条明确要求数据处理者应当建立数据全生命周期安全保护机制,采取分级分类、权限管控、操作审计等技术措施。这家公司的操作相当于直接跳过法定合规义务。2025年10月修订的《网络安全法》已将罚款上限提升至千万元级别,并实行“双罚制”,直接责任人也要被处罚。如果这8个人确实存在未授权导出数据的行为,法律路径是通的——关键就看有没有人启动调查。
一家连法定数据安全义务都不当回事的公司,你凭什么相信它能管好你的数据?更讽刺的是,普通人根本没有选择权——你根本不知道你用的哪个系统是这家公司写的。
数据安全在这个事件里成了一个笑话。笑话的制造者不只是那8个人,更是整个漠视法定合规义务的管理体系。他们现在忙着复盘权限制度,但没人在第一时间告诉那些客户:你们的系统,这48小时里到底发生了什么。





九八策略提示:文章来自网络,不代表本站观点。