阿里云代碼泄露:涉萬科等40余家企業(yè),200余項目重要信息互聯(lián)網(wǎng)+
?近日,有媒體發(fā)文稱,阿里云發(fā)生因隱私權(quán)限設(shè)置錯誤而導致的大規(guī)模用戶資料泄露事件,涉及40余家企業(yè)、200余項目,涉及企業(yè)中,中國移動、萬科、咪咕音樂等在列。
近日,有媒體發(fā)文稱,阿里云發(fā)生因隱私權(quán)限設(shè)置錯誤而導致的大規(guī)模用戶資料泄露事件,涉及40余家企業(yè)、200余項目,涉及企業(yè)中,中國移動、萬科、咪咕音樂等在列。
重要信息泄露:手機號、手持身份證照片、銷售報表
據(jù)發(fā)現(xiàn)該問題的網(wǎng)絡(luò)工程師稱,只要登陸阿里云旗下的云校平臺,就能夠瀏覽很多公司的“內(nèi)部”代碼,而這些內(nèi)部代碼中就包含一些用戶的個人隱私信息,如身份證號、手機號、手持身份證照片等,以及企業(yè)的重要商業(yè)秘密,如銷售人員報表。
具體而言,對于萬科集團,泄露的是OSS密鑰,而該密鑰權(quán)限非常大,可以訪問整個萬科集團的線上oss,包括購房客戶上傳的手持身份證照片,各地銷售人員報表等。
對于浙江小蟲,則是用戶數(shù)據(jù)庫泄露,其中一個數(shù)據(jù)庫存儲了36萬條中小學生的姓名、手機號和學校,可直接登陸查看。
對于咪咕音樂,則是其庫存里所有的高清音樂都可被免費下載。
而對于上海圖聚智能科技有限公司,問題則更嚴重。它的客戶已經(jīng)包括全國數(shù)百家醫(yī)院和商場,以及高德地圖等。而由于代碼近乎全部泄露,其辛苦運營的數(shù)據(jù)能夠被競爭對手全數(shù)獲取。
核心原因:企業(yè)方代碼倉庫權(quán)限設(shè)置錯誤
該工程師稱,出現(xiàn)問題的根本原因,在于企業(yè)錯誤的把自己的代碼倉庫權(quán)限,設(shè)置為了 internal。而根據(jù)阿里云的說明,internal 權(quán)限意味著“站內(nèi)用戶訪問”,也就是凡是阿里云效用戶,都可以看,等于是半公開。
事實上,該權(quán)限設(shè)置本來有三檔,包括不公開的 private (只有自己企業(yè)的人能看),半公開的 internal (所有站內(nèi)用戶可以看),和完全公開的republic (公開,所有人都能看)。
企業(yè)在建立代碼庫時,本應(yīng)把權(quán)限設(shè)置為 private,而不是 internal。
然而上述企業(yè)為何把權(quán)限設(shè)置為 internal 了呢?
涉事公司程序員:
阿里云效默認設(shè)置 internal,企業(yè)未更改
據(jù)一位涉事公司研發(fā)人員透露,當初建站時,阿里云效還是全英文平臺,而權(quán)限控制默認是“internal”。
“主要是程序員個人建庫的時候疏忽了。”他如是說。
對此,阿里云云效平臺表示否認:云效平臺和github一樣,從一開始就是默認的“私有”,但客戶可以手動更改,相關(guān)的選項也都符合行業(yè)的通用規(guī)則,且完全由客戶自己設(shè)置。
然而,上述涉事公司研發(fā)人員卻稱,當時他一共建了3個項目,他在事后特別確認了一遍,當時的3個項目權(quán)限全部是平臺“公開”的。
“我建項目的時候,肯定不會把所有項目,專門都從‘私有’改成‘公開’。”
阿里云效默認設(shè)置是否為 internal 的問題,雙方各執(zhí)一詞,也沒有相應(yīng)證據(jù),無從判斷。但可以確認的是,目前阿里云云效平臺建庫操作頁面為中文,默認權(quán)限為“私有”。
網(wǎng)絡(luò)工程師:
多次聯(lián)系阿里云,溝通后阿里云不作為
據(jù)發(fā)現(xiàn)該問題的網(wǎng)絡(luò)工程師稱,他是在半年之前發(fā)現(xiàn)了該問題,先私下聯(lián)系過一些公司。但畢竟涉事企業(yè)太多,且不知自己私自聯(lián)系是否違法,所以他后來聯(lián)系阿里云嘗試一次性解決問題。然而多次溝通未果,他只得繼續(xù)自己一個個單獨聯(lián)系涉事企業(yè)。
據(jù)悉,他一開始發(fā)現(xiàn)問題后,曾通過郵件、微信等方式聯(lián)系涉事企業(yè),取得了一些正面效果。但其哥哥告知,這樣做的法律風險很大。
因此他開始找阿里云官方渠道來解決問題。
2018年11月,在第一次與官方渠道溝通后,問題的得到了部分解決:云效平臺上不再能檢測出代碼泄露項目的新公司了。
然而,他發(fā)現(xiàn),之前的代碼泄露企業(yè),依舊處于“裸奔”狀態(tài),這可能意味著阿里云并沒有通知到代碼泄露的企業(yè)。
今年1月31日,他再次聯(lián)系了阿里云云效平臺,并提供了咪咕音樂、百度無人車合作伙伴ecarx、51信用卡旗下的51足跡等知名項目的泄露情況,希望事情得到處理。
而阿里云客服卻表示:“作為公有云的代碼托管,我們無權(quán)掃描用戶的代碼,這一點公有和私有一樣,倉庫的開放性是用戶自主的權(quán)利。”
工程師提供的與阿里云客服對話截圖
在上述對話中,我們可以發(fā)現(xiàn),阿里云方面表示,會將信息給到涉事企業(yè)的代碼維護者。
然而網(wǎng)絡(luò)工程師表示,他發(fā)現(xiàn)上述企業(yè)的代碼泄露情況依然存在。
“可見它們并沒有接到通知。”他如是說。
阿里云:正逐一通知
Internal 權(quán)限設(shè)置用戶
對于上述事件,有微博網(wǎng)友表示,鍋是企業(yè)自己的,平臺提供了多種權(quán)限,企業(yè)根據(jù)需要自己選擇。
而另一位網(wǎng)友則表示,阿里云的托管產(chǎn)品都不怎么關(guān)注權(quán)限問題,甚至有“默認對全網(wǎng)公開”的情況。他懷疑,阿里云的交互設(shè)計是照搬 gitlab 的。
“這產(chǎn)品設(shè)計明顯有問題”。
“如果選項改為「所有阿里云登錄用戶可見」,還有誰會選錯?這鍋阿里云至少要背一半 ”。
針對網(wǎng)友反應(yīng)的問題,阿里云代碼托管團隊昨日在微博上發(fā)布了《關(guān)于 Internal 權(quán)限的說明》。該聲明稱,阿里云已于去年9月增強了 Internal 權(quán)限的中文注解,并于昨日發(fā)出全站通知提醒。同時,正逐一通知之前將訪問權(quán)限設(shè)為 Internal 的開發(fā)者用戶。
作為一個旁觀者,三言財經(jīng)認為,在這次泄露事件中,顯然雙方都有一定責任。
阿里云方面錯在未能及時優(yōu)化和解釋有歧義的英文權(quán)限描述,且在接到提醒后,反應(yīng)遲鈍,未及時通知其用戶預(yù)防風險。一旦造成重大損失,平臺也將承擔相應(yīng)責任。
而作為企業(yè)一方,程序員未能理解透徹Internal一詞所涉及的訪問權(quán)限范圍,也屬于基本專業(yè)素養(yǎng)的不達標,而不僅僅是簡單的疏忽。
1.TMT觀察網(wǎng)遵循行業(yè)規(guī)范,任何轉(zhuǎn)載的稿件都會明確標注作者和來源;
2.TMT觀察網(wǎng)的原創(chuàng)文章,請轉(zhuǎn)載時務(wù)必注明文章作者和"來源:TMT觀察網(wǎng)",不尊重原創(chuàng)的行為TMT觀察網(wǎng)或?qū)⒆肪控熑危?br>
3.作者投稿可能會經(jīng)TMT觀察網(wǎng)編輯修改或補充。
