一家在华东地区有多个生产基地的制药企业,销售团队规模相当大,覆盖了全国各个省份。每年到了上半年,企业都会组织全国销售代表进行一次集中的封闭式业务培训,地点通常选在一些风景比较好的度假酒店或者会议中心,既是为了培训效果也是为了团队建设。去年他们把培训地点选在了杭州郊区一家比较上档次的酒店,酒店本身配备了很多不同规格的会议室和宴会厅,设施看起来相当完善,接待过不少企业的会议活动。
培训的内容安排得很扎实。销售总监和几位区域经理花了整整两天时间,系统性地分享了各种实战经验和内部策略。包括如何针对不同级别的医院科室制定差异化的拜访计划,如何用各种话术突破药房主任和科室主任的防线,如何向医生阐述产品的临床优势和性价比,如何应对竞品在招标过程中采取的降价策略,以及公司给各区域设定的销售目标和对应的返利政策。这些都是企业销售团队的核心竞争力,也是在市场竞争中赖以生存的方法论,平时只有核心团队的成员能接触到,从来没有对外公开过。
培训第一天一切正常。销售总监在会议室的主席台上用PPT配合讲解,房间里安装了酒店自带的麦克风扩音系统,顶上吊了几个拾音麦克风,声音通过音响设备放大到整个会议室。酒店方面给这个会议室配了一套比较新的会议系统,可以录音、可以录屏、可以远程参会甚至可以把内容同步到云端。但销售团队在使用会议室的时候完全没有关注过这套系统到底有什么功能,更不用说去检查哪些功能是默认开启的。酒店的工作人员在前一天布置场地的时候,只是简单测试了一下麦克风和投影仪能不能正常工作,对于会议系统里复杂的设置选项也没有特别去调整过,基本上就是按照出厂的默认配置在运行。
结果这套会议系统默认开启了录音功能,并且自动把录制的音频文件同步到了系统关联的一个云存储服务上。更麻烦的是,这个云存储服务的配置使用的是酒店管理方的通用账号,而且该账号的访问权限设置相当开放,并不需要特别严格的验证就能查看和下载内容。培训第一天结束以后,两个多小时的培训音频就已经自动上传到了云端,静静地躺在了一个任何人都可能访问到的存储空间里。
事情是怎么暴露的呢。一个在网络安全领域工作的独立研究员,平时喜欢在网上扫描各种配置不当的云存储实例。他那天在网上例行扫描的时候,发现了一个访问权限配置明显存在问题的存储空间,点进去一看是一个酒店会议系统自动备份的音频文件。他本来只是想看看是哪家酒店有漏洞,结果打开音频一听就意识到问题严重了——这是一家制药企业销售团队的内部培训录音,里面包含了大量关于销售策略、产品定位、区域目标和竞品分析的信息。这位研究员出于负责任的态度,没有把音频公开传播,而是通过合理的渠道通知了相关的酒店管理方和制药企业。
但信息在弥补漏洞的过程中还是出现了二次传播。酒店和制药企业在沟通处理这件事的时候,有内部人员把音频文件的存在消息透露了出去,结果就有媒体拿到了这份音频的内容,虽然没有直接公开音频文件本身,但根据音频内容撰写了一篇报道,详细描述了制药企业在培训中分享的销售策略和渠道手段。这篇报道被多家行业媒体转载,一时间这家制药企业的销售团队成了行业内被热议的话题中心。
从泄密链路来分析,第一个环节是酒店会议系统的默认设置没有经过任何检查和调整,出厂配置的自动录音和云同步功能全开,没有人知道会议室的天花板上那些麦克风不只是在扩音,还在录制。第二个环节是酒店使用的云存储账号权限管理过于松散,通用账号加弱配置,相当于把录音文件直接放在了公开区域。第三个环节是企业在租用会议室的时候没有对场地的电子设备进行安全评估,也没有要求酒店方面关闭不必要的录音和云功能。第四个环节是事件处理过程中沟通控制不力,内部消息流出引发了二次传播。
这个案例的警示对于所有经常在外面租用会议室开会的企业来说都很有参考价值。你走进一间酒店会议室的时候,看到的只是桌椅、投影和麦克风,但天花板上、桌面上、墙角里那些你看不到的电子设备可能远比你想象的更复杂。一个有录音功能的会议系统、一个默认开启的云同步按钮、一个权限配置不当的共享账号,三个变量凑在一起就足以让企业最核心的内部培训内容暴露在互联网上。建议是,在外部场地召开涉及商业敏感信息的会议之前,企业的IT或者行政人员应该有一个人专门负责检查现场的多媒体设备,要求关闭所有不必要的录音、录屏和云同步功能。如果条件允许,自带独立的会议设备比依赖外部场地的系统要安全得多。那些你习惯性认为安全的商务酒店会议室,可能在你进来之前就已经在替你做记录了。
