百万美元安全系统败给一张Excel表格

一家金融科技公司砸下100多万美元打造"军工级"防护，最终却被审计员在共享文件夹里用"公司名+年份"猜出了数据库密码。

审计现场：一个过于显眼的文件夹

斯坦尼斯拉夫·卡扎诺夫（Stanislav Kazanov）走进这家金融科技公司时，对方正为刚部署的安全体系骄傲——生物识别多因素认证（MFA）、端点检测、物理安防层层加码。作为软件公司Innowise战略实践负责人，他和团队受雇来做合规与数据架构审计。

登录公司SharePoint后，卡扎诺夫在全员可访问的内网上发现了一个叫"DevOps_Handoff"的文件夹。里面的Excel文件名直截了当：Prod_DB_Root_Creds_DO_NOT_SHARE.xlsx（生产数据库根凭证_请勿分享）。

文件名里的"DO_NOT_SHARE"像是一种黑色幽默——它确实没分享，只是放在了所有人都能打开的地方。

密码保护：一层薄如蝉翼的窗户纸

文件加了密码。卡扎诺夫找到首席工程师询问，对方尴尬地低头看着脚，嘟囔出答案："公司名+年份"。

假设公司叫Contoso，密码就是contoso2026。不是"admin123"，但猜中难度也没高到哪去。

卡扎诺夫后来解释，这个文件诞生于内部DevOps团队与外部数据库管理员团队的工具之争——双方就该用哪款企业级密码管理器争执不下。为了"临时"解决分歧，他们把数据库根凭证和AWS身份与访问管理（IAM）主密钥一股脑倒进了这张表格。

"临时"方案持续了八个月。八个月里，这张表格躺在全员可见的内网上，守着一家金融科技公司的核心资产。

权限失控：谁需要，谁就能看

网络安全最基础的原则是最小权限：只给真正需要的人开访问权限。但这家公司的内网对全员开放，连卡扎诺夫这样的外部审计承包商都能登录。

作为金融科技公司，其数据背后可能是数百万甚至数十亿美元的用户资金。文件里的根凭证意味着最高级别访问权，一旦泄露，攻击者可以绕过所有审计日志、直接操作核心数据。

生物识别MFA、端点检测、物理安防——这些百万美元堆出来的防线，在一张Excel表格面前形同虚设。攻击者不需要破解军工级加密，只需要打开共享文件夹，再猜一个"公司名+年份"的密码。

组织裂痕：工具之争如何变成安全漏洞

复盘这个案例，核心矛盾不是技术能力不足，而是决策权责模糊。

DevOps团队与外部DBA团队在密码管理器选择上僵持不下。这类工具之争在技术团队里极为常见——有人偏爱HashiCorp Vault，有人坚持用CyberArk，有人觉得1Password Business够用。僵持不下时，"先凑合用"往往成为默认选项。

但"凑合"在基础设施安全领域是危险信号。双方把凭证 dump 进Excel，本质是用流程漏洞填补组织分歧。八个月没人觉得这是问题，说明安全文化已经让位于执行便利。

卡扎诺夫指出，内部DevOps团队本应拥有最终决策权。承包商需要适配甲方的安全规范，而不是反过来让核心资产为协作摩擦买单。

金融科技的安全悖论

这家公司并非不重视安全。100多万美元预算、生物识别、端点检测、物理安防——投入清单看起来专业且完整。但安全投资的边际效用存在明显断层：花大钱买"感觉安全"，却在基础权限管理上省小钱。

这种现象在金融科技领域尤为突出。行业监管压力迫使企业购买合规工具，但工具堆叠不等于风险消除。当审计重点变成"有没有买"，执行层就容易忽视"用没用对"。

SharePoint文件夹全员可访问，是权限配置失误；密码用"公司名+年份"，是密码策略缺失；八个月无人整改，是监控机制失灵。三个低级错误叠加，抵消了百万美元的安全投入。

为什么这种事反复发生

技术团队对"临时方案"有天然宽容。开发周期压力下，"先用Excel记着，下周再迁到Vault"是常见话术。但下周变成下个月，下个月变成八个月，临时方案就长成了技术债务。

更隐蔽的问题是可见性错觉。文件名里的"DO_NOT_SHARE"、密码保护、放在内网而非公网——这些设计给了团队一种"已经采取措施"的心理安慰，却没人追问措施是否足够。

金融科技公司的数据敏感度放大了后果。根凭证泄露可能导致用户资金直接暴露，而金融用户的信任一旦崩塌，重建成本远超技术修复。

给技术团队的 checklist

卡扎诺夫的审计故事没有后续，但假设问题在悲剧发生前被解决，值得复盘的动作包括：

权限层面：立即撤销该文件的全员访问，改为基于角色的最小权限。根凭证拆分到不同保管人，避免单点泄露。

工具层面：强制统一密码管理器，承包商必须适配甲方标准。争议不决时，安全合规优先于团队偏好。

流程层面：建立"临时方案"的强制过期机制，超过72小时需升级审批。安全扫描覆盖SharePoint等协作平台，文件名含敏感关键词自动告警。

文化层面：把"猜密码"纳入渗透测试常规动作。安全投入按风险场景分配，而非按预算额度平均摊派。

一张表格暴露的系统性盲区

这家公司的故事没有数据泄露的戏剧性结局，但正是"假设悲剧未发生"让它更具警示意义。太多安全事故的起点，是某个团队在某个下午决定"先这么凑合着"。

金融科技行业的特殊性在于，用户把真金白银托付给系统，而系统背后是一张Excel表格、一个通用密码、一次"下次再说"的拖延。百万美元买不来安全意识，只能买来审计报告上的对勾。

卡扎诺夫的发现像一面镜子：当技术团队为工具选型争执时，真正的风险正在共享文件夹里静静等待。安全不是堆叠功能，而是消除每一个"本该如此"的侥幸。

你的团队有没有正在"临时"使用的Excel？那个文件的密码，会不会也是"公司名+年份"？