系統管理員都應該是瞎子?從Google用戶隱私談起
話說前些日子,Google已經證實一個員工因違反內部安全規定而遭解職,完全印證了Gawker的報道,Gawker之前詳細的披露了Google員工David Barksdale利用職權查看了多個用戶的隱私數據,其中還包括4個未成年人的。Barksdale因違反規定已被解職,Google說會“大量的增加用于訪問日志審計的時間來確保這方面的控制措施切實有效”。 我們詢問Google這樣的事情發生過多少次,回復說這是第二次發生這樣的事件。然而,之前的一次未涉及到未成年人——犯案人員跟Barksdale一樣被解職了。公正的說,Google已經成立有十幾年之久,有20,000多員工,我懷疑這種事件的實際發生次數會更高,盡管我們根本不希望這種讓人不安的事情發生。
借著這件事情,外刊IT評論近日撰文一篇:《好的系統管理員應該是個***》,針對系統管理員在處理用戶隱私數據的一些規范進行了評論。全文如下:
你是一個系統管理員,并沒說你是個‘BOFH’(譯注:一個小說人物),你當然有權利使用任何你所需要的數據來窺探你的用戶。
一個在Google工作的SRE(搜索可靠性工程師)能夠擁有所有的這些權力,而且他決定濫用這些權力。
當然了,Google的雇員需要查看你的數據,但是,就像任何一個能訪問敏感信息的人一樣,一個好的系統管理員應該是個”***“。
這不是說,在他們按照批準的流程成功的完成了任務之后,摳出他們的眼珠子,用這種方式對待員工實在太難辦到,而且他們也不會這么和藹的跟你合作。
我要表達的意思是,好的系統管理員對于他們所處理的數據有很強的自律性,即使滿屏顯示的都是用戶的隱私信息,他們看到的也只是跟他們的工作相關的字節流,他們會盡***努力對其它的信息視而不見。
這是一個自我審查機制。如果某些用戶聯系我,要求我去看看他們郵件帳戶里的郵件是否受到了,我不會異想天開的使用他們的ID登錄去檢查他們的收件箱。相反,我會向他們詳細的了解信息,使我能夠抓取他們郵箱里的電子郵件頭信息。如果這個頭信息存在,那么我可以告訴他們郵件收到了,如果沒有,則是郵件沒收到。就像這樣,他們的隱私信息就不會出現在屏幕上讓我來閱讀。(當然我在做這些之前一定會確認他們的身份)
Google應該訓練他們的SRE,在處理用戶數據時就像是在處理放射性物質,把自己暴露于多于自己工作所需的數據之前會使自己處于不利的境地。對于這種數據,每個人都知道如何干凈的處理,對自己,對Google,當然還有用戶,都不會有害處。
很顯然,這已是第二次發生這樣的事情了。如果這種事情發生在我的公司,我不會僅僅炒了這個人,我還會提出起訴,要讓處在同樣位置上的*每個人*都知道這樣一個簡單的原則,小心的對待你的用戶數據,這不僅僅是個開除的問題。如果只是把地毯下的灰塵掃地,讓這種事情簡單的過去,那只會給人一個錯誤的信息,就像是在說“如果你做了這種事情,做糟糕也就是不在Google工作了而已”。
只是過了很短的時間這種事情就再次發生,這樣看來我們現在談論的這個問題已經到一種超出控制的事態了,不僅僅只是跟蹤幾個未成年人的問題了。但是,提出訴訟的紅線在哪里?依我的觀點,這個線早已經越過了,在歐洲,好幾部關于隱私的法律已經頒布,這次事情事實上已經觸犯了法律。當然,雇主也有責任,這也許就是這個事情沒有鬧到法庭上的原因。
如果你是個系統管理員,你也處于一種有權力審查用戶數據的的位置,請留心,找一種使自己變“瞎”的方法。好奇心也許是人的天性,但當你處于這樣一種受信任的角色時,你必須控制自己。對于這種事情最簡單的辦法就是盡量減少自己受輻射的范圍,再次就是要鍛煉自己鐵的自律,當看到一些可能會撩你起更多興趣的小事情時,抵制住它把你帶入深淵。
如果你能做到,盡可能的避免接觸和你在“真實生活”中有交道的人的數據。
這并不只是為了讓你守住這份工作,同樣也是為了不讓你的用戶,你和你認識的人之間的關系,你的雇主受到重大的傷害。
【編輯推薦】
