公司凝聚了素质高、技能强、深谙物流管理的人才,拥有经过专业培训的装卸队伍,积累了丰富的实践管理经验并提供良好的服务。
当前位置:主页 > 公司公告 >
公司公告
阿里云代码泄露:涉万科等40余家企业200余项目重要信息
来源:未知 作者:admin 发布时间:2019-03-17 20:59 浏览量:

  近日,有媒体发文称,阿里云发生因隐私权限设置错误而导致的大规模用户资料泄露事件,涉及40余家企业、200余项目,涉及企业中,中国移动、万科、咪咕音乐等在列。

  据发现该问题的网络工程师称,只要登陆阿里云旗下的云校平台,就能够浏览很多公司的“内部”代码,而这些内部代码中就包含一些用户的个人隐私信息,如身份证号、手机号、手持身份证照片等,以及企业的重要商业秘密,如销售人员报表。

  具体而言,对于万科集团,泄露的是OSS密钥,而该密钥权限非常大,可以访问整个万科集团的线上oss,包括购房客户上传的手持身份证照片,各地销售人员报表等。

  对于浙江小虫,则是用户数据库泄露,其中一个数据库存储了36万条中小学生的姓名、手机号和学校,可直接登陆查看。

  而对于上海图聚智能科技有限公司,问题则更严重。它的客户已经包括全国数百家医院和商场,以及高德地图等。而由于代码近乎全部泄露,其辛苦运营的数据能够被竞争对手全数获取。

  该工程师称,出现问题的根本原因,在于企业错误的把自己的代码仓库权限,设置为了 internal。而根据阿里云的说明,internal 权限意味着“站内用户访问”,也就是凡是阿里云效用户,都可以看,等于是半公开。

  事实上,该权限设置本来有三档,包括不公开的 private (只有自己企业的人能看),半公开的 internal (所有站内用户可以看),和完全公开的republic (公开,所有人都能看)。

  企业在建立代码库时,本应把权限设置为 private,而不是 internal。

  据一位涉事公司研发人员透露,当初建站时,阿里云效还是全英文平台,而权限控制默认是“internal”。

  对此,阿里云云效平台表示否认:云效平台和github一样,从一开始就是默认的“私有”,但客户可以手动更改,相关的选项也都符合行业的通用规则,且完全由客户自己设置。

  然而,上述涉事公司研发人员却称,当时他一共建了3个项目,他在事后特别确认了一遍,当时的3个项目权限全部是平台“公开”的。

  据发现该问题的网络工程师称,他是在半年之前发现了该问题,先私下联系过一些公司。但毕竟涉事企业太多,且不知自己私自联系是否违法,所以他后来联系阿里云尝试一次性解决问题。然而多次沟通未果,他只得继续自己一个个单独联系涉事企业。

  据悉,他一开始发现问题后,曾通过邮件、微信等方式联系涉事企业,取得了一些正面效果。但其哥哥告知,这样做的法律风险很大。

  2018年11月,在第一次与官方渠道沟通后,问题的得到了部分解决:云效平台上不再能检测出代码泄露项目的新公司了。

  然而,他发现,之前的代码泄露企业,依旧处于“裸奔”状态,这可能意味着阿里云并没有通知到代码泄露的企业。

  今年1月31日,他再次联系了阿里云云效平台,并提供了咪咕音乐、百度无人车合作伙伴ecarx、51信用卡旗下的51足迹等知名项目的泄露情况,希望事情得到处理。

  在上述对话中,我们可以发现,阿里云方面表示,会将信息给到涉事企业的代码维护者。

  阿里云方面错在未能及时优化和解释有歧义的英文权限描述,且在接到提醒后,反应迟钝,未及时通知其用户预防风险。一旦造成重大损失,平台也将承担相应责任。

  而作为企业一方,程序员未能理解透彻Internal一词所涉及的访问权限范围,也属于基本专业素养的不达标,而不仅仅是简单的疏忽。