TMT观察网_独特视角观察TMT行业

近日，有媒體發(fā)文稱，阿里云發(fā)生因隱私權(quán)限設(shè)置錯(cuò)誤而導(dǎo)致的大規(guī)模用戶資料泄露事件，涉及40余家企業(yè)、200余項(xiàng)目，涉及企業(yè)中，中國(guó)移動(dòng)、萬(wàn)科、咪咕音樂等在列。

重要信息泄露：手機(jī)號(hào)、手持身份證照片、銷售報(bào)表

據(jù)發(fā)現(xiàn)該問題的網(wǎng)絡(luò)工程師稱，只要登陸阿里云旗下的云校平臺(tái)，就能夠?yàn)g覽很多公司的“內(nèi)部”代碼，而這些內(nèi)部代碼中就包含一些用戶的個(gè)人隱私信息，如身份證號(hào)、手機(jī)號(hào)、手持身份證照片等，以及企業(yè)的重要商業(yè)秘密，如銷售人員報(bào)表。

具體而言，對(duì)于萬(wàn)科集團(tuán)，泄露的是OSS密鑰，而該密鑰權(quán)限非常大，可以訪問整個(gè)萬(wàn)科集團(tuán)的線上oss，包括購(gòu)房客戶上傳的手持身份證照片，各地銷售人員報(bào)表等。

對(duì)于浙江小蟲，則是用戶數(shù)據(jù)庫(kù)泄露，其中一個(gè)數(shù)據(jù)庫(kù)存儲(chǔ)了36萬(wàn)條中小學(xué)生的姓名、手機(jī)號(hào)和學(xué)校，可直接登陸查看。

對(duì)于咪咕音樂，則是其庫(kù)存里所有的高清音樂都可被免費(fèi)下載。

而對(duì)于上海圖聚智能科技有限公司，問題則更嚴(yán)重。它的客戶已經(jīng)包括全國(guó)數(shù)百家醫(yī)院和商場(chǎng)，以及高德地圖等。而由于代碼近乎全部泄露，其辛苦運(yùn)營(yíng)的數(shù)據(jù)能夠被競(jìng)爭(zhēng)對(duì)手全數(shù)獲取。

核心原因：企業(yè)方代碼倉(cāng)庫(kù)權(quán)限設(shè)置錯(cuò)誤

該工程師稱，出現(xiàn)問題的根本原因，在于企業(yè)錯(cuò)誤的把自己的代碼倉(cāng)庫(kù)權(quán)限，設(shè)置為了 internal。而根據(jù)阿里云的說明，internal 權(quán)限意味著“站內(nèi)用戶訪問”，也就是凡是阿里云效用戶，都可以看，等于是半公開。

事實(shí)上，該權(quán)限設(shè)置本來(lái)有三檔，包括不公開的 private （只有自己企業(yè)的人能看），半公開的 internal （所有站內(nèi)用戶可以看），和完全公開的republic （公開，所有人都能看）。

企業(yè)在建立代碼庫(kù)時(shí)，本應(yīng)把權(quán)限設(shè)置為 private，而不是 internal。

然而上述企業(yè)為何把權(quán)限設(shè)置為 internal 了呢？

涉事公司程序員：

阿里云效默認(rèn)設(shè)置 internal，企業(yè)未更改

據(jù)一位涉事公司研發(fā)人員透露，當(dāng)初建站時(shí)，阿里云效還是全英文平臺(tái)，而權(quán)限控制默認(rèn)是“internal”。

“主要是程序員個(gè)人建庫(kù)的時(shí)候疏忽了。”他如是說。

對(duì)此，阿里云云效平臺(tái)表示否認(rèn)：云效平臺(tái)和github一樣，從一開始就是默認(rèn)的“私有”，但客戶可以手動(dòng)更改，相關(guān)的選項(xiàng)也都符合行業(yè)的通用規(guī)則，且完全由客戶自己設(shè)置。

然而，上述涉事公司研發(fā)人員卻稱，當(dāng)時(shí)他一共建了3個(gè)項(xiàng)目，他在事后特別確認(rèn)了一遍，當(dāng)時(shí)的3個(gè)項(xiàng)目權(quán)限全部是平臺(tái)“公開”的。

“我建項(xiàng)目的時(shí)候，肯定不會(huì)把所有項(xiàng)目，專門都從‘私有’改成‘公開’。”

阿里云效默認(rèn)設(shè)置是否為 internal 的問題，雙方各執(zhí)一詞，也沒有相應(yīng)證據(jù)，無(wú)從判斷。但可以確認(rèn)的是，目前阿里云云效平臺(tái)建庫(kù)操作頁(yè)面為中文，默認(rèn)權(quán)限為“私有”。

網(wǎng)絡(luò)工程師：

多次聯(lián)系阿里云，溝通后阿里云不作為

據(jù)發(fā)現(xiàn)該問題的網(wǎng)絡(luò)工程師稱，他是在半年之前發(fā)現(xiàn)了該問題，先私下聯(lián)系過一些公司。但畢竟涉事企業(yè)太多，且不知自己私自聯(lián)系是否違法，所以他后來(lái)聯(lián)系阿里云嘗試一次性解決問題。然而多次溝通未果，他只得繼續(xù)自己一個(gè)個(gè)單獨(dú)聯(lián)系涉事企業(yè)。

據(jù)悉，他一開始發(fā)現(xiàn)問題后，曾通過郵件、微信等方式聯(lián)系涉事企業(yè)，取得了一些正面效果。但其哥哥告知，這樣做的法律風(fēng)險(xiǎn)很大。

因此他開始找阿里云官方渠道來(lái)解決問題。

2018年11月，在第一次與官方渠道溝通后，問題的得到了部分解決：云效平臺(tái)上不再能檢測(cè)出代碼泄露項(xiàng)目的新公司了。

然而，他發(fā)現(xiàn)，之前的代碼泄露企業(yè)，依舊處于“裸奔”狀態(tài)，這可能意味著阿里云并沒有通知到代碼泄露的企業(yè)。

今年1月31日，他再次聯(lián)系了阿里云云效平臺(tái)，并提供了咪咕音樂、百度無(wú)人車合作伙伴ecarx、51信用卡旗下的51足跡等知名項(xiàng)目的泄露情況，希望事情得到處理。

而阿里云客服卻表示：“作為公有云的代碼托管，我們無(wú)權(quán)掃描用戶的代碼，這一點(diǎn)公有和私有一樣，倉(cāng)庫(kù)的開放性是用戶自主的權(quán)利。”

工程師提供的與阿里云客服對(duì)話截圖

在上述對(duì)話中，我們可以發(fā)現(xiàn)，阿里云方面表示，會(huì)將信息給到涉事企業(yè)的代碼維護(hù)者。

然而網(wǎng)絡(luò)工程師表示，他發(fā)現(xiàn)上述企業(yè)的代碼泄露情況依然存在。

“可見它們并沒有接到通知。”他如是說。

阿里云：正逐一通知

Internal 權(quán)限設(shè)置用戶

對(duì)于上述事件，有微博網(wǎng)友表示，鍋是企業(yè)自己的，平臺(tái)提供了多種權(quán)限，企業(yè)根據(jù)需要自己選擇。

而另一位網(wǎng)友則表示，阿里云的托管產(chǎn)品都不怎么關(guān)注權(quán)限問題，甚至有“默認(rèn)對(duì)全網(wǎng)公開”的情況。他懷疑，阿里云的交互設(shè)計(jì)是照搬 gitlab 的。

“這產(chǎn)品設(shè)計(jì)明顯有問題”。

“如果選項(xiàng)改為「所有阿里云登錄用戶可見」，還有誰(shuí)會(huì)選錯(cuò)？這鍋阿里云至少要背一半 ”。

針對(duì)網(wǎng)友反應(yīng)的問題，阿里云代碼托管團(tuán)隊(duì)昨日在微博上發(fā)布了《關(guān)于 Internal 權(quán)限的說明》。該聲明稱，阿里云已于去年9月增強(qiáng)了 Internal 權(quán)限的中文注解，并于昨日發(fā)出全站通知提醒。同時(shí)，正逐一通知之前將訪問權(quán)限設(shè)為 Internal 的開發(fā)者用戶。

作為一個(gè)旁觀者，三言財(cái)經(jīng)認(rèn)為，在這次泄露事件中，顯然雙方都有一定責(zé)任。

阿里云方面錯(cuò)在未能及時(shí)優(yōu)化和解釋有歧義的英文權(quán)限描述，且在接到提醒后，反應(yīng)遲鈍，未及時(shí)通知其用戶預(yù)防風(fēng)險(xiǎn)。一旦造成重大損失，平臺(tái)也將承擔(dān)相應(yīng)責(zé)任。

而作為企業(yè)一方，程序員未能理解透徹Internal一詞所涉及的訪問權(quán)限范圍，也屬于基本專業(yè)素養(yǎng)的不達(dá)標(biāo)，而不僅僅是簡(jiǎn)單的疏忽。