90 后黑客法师：数据泄露大多源于安全意识薄弱

我最早在一家做云安全的公司，当时我组建了一支安全团队，这个团队在14年的时候被阿里收购，我也随之加入阿里巴巴。我们团队在阿里主要负责攻击这块的事情，在这段时间里成功授权入侵过国内大几十家行业top的公司，因为团队内部有非常明确地分工，而且每个人能力都非常强，所以入侵的成功率一直是 100%。

15年底的时候我离开了阿里，创建了君安天下。这家公司是国内第一家也是唯一一家围绕人的维度去做安全的公司。公司在2016年年底被深圳Sobug收购，我作为技术合伙人的身份加入Sobug，现在在Sobug主要负责安全方面的工作。

在这期间，我写过一本书，叫《代码审计：企业级web代码安全架构》，这也是国内第一本专门讲代码安全的书。

其实我在刚毕业的时候就决定了我一定要创业！当时我还创建了一个公众号“互联网安全与创业”。

我觉得在公司打工的话，成长空间不大。当自己真正做过一家公司，真正体会怎么去带领团队之后，才会有更好地执行力，能力会比在公司上班要强得多。即使创业失败了，我再去大公司，能力也会比别人强，或者比我一直待在大公司要强。所以我希望挑战一下自己，也是在给自己的能力做投资。

另外我觉得人是一切问题的根本，比如一个程序员写出来一个漏洞，通过扫描器或者渗透测试发现并且修复之后，过两天同一个人还会写出来同一个漏洞，为什么呢？因为修复掉的是漏洞而不是人，人是漏洞的制造者，这是大多数企业在修复的时候修错了对象，所以漏洞一直在不断产生，这是很多企业做安全都做错的事情，没有人意识到这个事情，我觉得有市场有机会，我应该出来做这么一件有价值的事情。

创业该准备什么取决于做的事情吧，一般来说团队为先，一定要准备好一个非常靠谱的团队，团队决定了事儿成不成。

做安全这些年大部分的时间是在给企业做入侵测试，所以印象最深刻的事情基本都在这段时间里面，我能想都不用想讲出来一大堆入侵的故事，从这些入侵测试经历来看，绝大多数人和企业的安全意识不够。

在早几年的入侵测试中，大多数黑客的目标都是放在寻找主机和应用的漏洞上，但是现在更多的时候是针对人。因为2012年之后企业数据大规模泄漏，地下黑客手中掌握上百亿条个人隐私数据，所以如果利用这些数据去入侵企业的话，只要看这些企业有哪些员工，从泄露的数据去查看他们的密码，然后去登录云笔记或者邮箱，很容易就入侵进去了。

这样的故事有很多，比如我们在入侵一家国内最大的平台的时候，发现很多的员工都把那些公司的服务器的私钥、密码，还有阿里云控制台的密码，全部都放在印象笔记里面，所以我们在很短的时间就把整家公司数据都入侵掉了。还有一些大的物流公司，数据有上几十亿条的数据。如果员工没有足够的安全意识，这些数据很容易就会泄露。