有一次我在一家公司工作，我不得不和别人分享 通过加密的信息。他们给我提供了一个GPG 密钥对-它们的公钥和私钥而不是 只是共享公钥和高度 保密。

我不得不向他们解释这个过程是错误的 意识到他们这样做已经很长时间了。

去了一个汽车经销商的付费网站，会员费很高。只要用“test”作为用户名，用“Test1”作为密码。我进去了。

我们有一个旧的计算机集群，在我工作的一个实验室里没有运行。几个本科生认为，让它运行起来会很有趣，这样他们就可以学习一点并行计算了。他们让它运行起来，结果证明它非常有用。

One day I came in and was checking out the stats...It was running at 100%. Now this was a 24 node cluster and there were only 3 of us that ever used it so it was a little strange that it was running at this load. I started playing with it, trying to figure out what was loading it...turned out someone had gained access and was using it as their own little porn server and spammer. I asked the undergrads what kind of security they put on it, they looked at me and said "Security? We didn't think it would need any."

我给它加了个密码，就这样。把它用作色情服务器的人原来是一个本科生的朋友。

两个系统之间的“统一登录”——这暴露了密码为免费文本.........在url中!!

这是一个“离岸”的政府项目。幸运的是，它很早就被注意到了。可怕的是开发人员并没有看到这么多的问题-真的让你怀疑。

新闻标题是在这条线索的精神…在今天的头版/。 ISP将客户数据库电子邮件发送给数千人

我的第一份工作是在IT安全部门实习。我的任务是自动化对不同用户帐户的网络和应用程序访问，因为每个用户都转移到不同的部门/角色。也就是说，我可以使用一些基本的工具，比如查询分析器，以及一些数据库，但其他的就不多了。该公司通常会把所有东西都锁起来，所以总是有重置和授予的权限。

在这份工作中，所有的兼职人员都被要求使用一个小的VB胖客户端应用程序来跟踪工作时间，在一周结束时，一个按钮可以显示登录的用户一周工作了多少小时，以及他们这一周将获得多少报酬。

出于纯粹的无聊，有一天我偶然发现了小时间跟踪应用程序驻留在网络上的目录，并注意到在该目录中除了EXE之外只有一个其他文件，一个settings.ini文件。

果不其然，打开文件后，连接字符串在明亮的闪光纯文本;用户、密码、数据库名、服务器等等。

在这一点上，我认为这不是真正的信息，但在启动查询分析器，并进入ini设置后，我进入了主生产数据库，其中有任何人都需要给自己加薪的每一块数据。对引导的完全读写权限。

最后，我向老板展示了一份关于谁赚多少钱的问题，他平静地让我把它转发给人力资源总监。

让我告诉你，在我的生活中，我从来没有收到过这么快的，亲自回复任何其他邮件的邮件。

第二天我开始工作，时间跟踪应用程序有一个更新，唉，没有更多的settings.ini文件。