都是They的错(求SW实习生心里阴影面积)

故事的开头简述

知名3D绘图软件 SolarWinds 的前任 CEO KT 说是实习生违反 SolarWinds 的密码政策，在私人的GitHub帐号张贴密码，现任 CEO SR 说密码在2017就开始用了...
传说2018/06可线上登入~2019/11删密 没删号

废宅有几个疑问

1. 还是那个熟悉的密码命名方式(公司名、公司电话、公司统编、品名...任选1~2样後面在加几个数字，或者帐号=密码，又或者空密码)
2. 说好的密码复杂度ㄋ? SW公司有在管吗？
3. 服务器的密码是实习生该拿的吗? 执行工作时的必要权限应该给哪些权限?
4. 实习生工作多久了?
5. 除了已发现的密码，还有没有其它重要资讯外流?
6. 删除旧密码"solarwinds123"，瞎猜...新密码会是"SolarWinds123456"吗?

建议

1. 定期培训员工并确认培训有效性。
2. 录用员工後应签订保密(NDA)、敬业(乖乖条款)、着作权(工作会产出文件)、智财权(工作需引用大量资讯)、商标权(设计)、专利权(研发、设计)...维护企业或机构权益。
3. 上述条文，如果跟宪法抵触或侵害公民权益可能是无效条款。例如:要求软件研发攻城狮离职後不准去其它单位做软件研发工作，且不给付等价薪资导致攻城狮收入为0...着样严苛的条件是无效的。

资料来源:
SolarWinds实习生外泄密码solarwinds123，可能是骇客入侵破口
CNN报导