据铅笔道消息,一工程师(张中南)爆料阿里云托管平台项目设置存在歧义,导致开发者操作失误,造成至少40家以上企业的200多个项目代码泄露。其中涉及到万科集团、咪咕音乐、51信用卡旗下51足迹、百度无人车合作伙伴ecarx等知名企业。他半年前已经发现此事,并向阿里云云效平台报告,问题至今未完全解决。
以下为具体详情(摘自铅笔报道)
张中南称,去年 8 月下旬他注册了一个阿里云平台账号,却意外发现在阿里云效平台上,只要登上账号,就能浏览到很多公司的“内部”代码。
最初,张中南以为这些代码是开源的,但这些代码内容很多都是不该出现在开源项目中的。比如,项目的数据库、账号、密码等。抱着测试一下的态度,张中南登录了这些账号和密码,却发现了一些公司生产环境的具体数据。
张中南认为,之所以出现这种情况,可能是因为这些公司的程序员在给项目建库时操作不当,将项目权限设置成“平台公开”。因为当时的阿里云代码托管业务还是全英文平台,可能很多企业在创建项目的时候会误选择“internal”,也就是“平台公开”。
张中南发现潜在安全风险后,与其中一些安全公司的一线工程师联系,通知对方修改了设置。考虑到自己的“义举”可能对自身带来法律风险,2018 年 11 月,他将51信用卡在阿里云 code 上托管的代码项目 51足迹 App,因为权限配置不当而泄漏的情况告知了云效客服,希望阿里云能发个站内信告知这部分公司。
当时阿里云云效方面表示,张中南反馈的 51 信用卡旗下 51 足迹 App 后台的代码,仓库级别设置为了“internal”,需要通知客户改为“private”的问题,已经关联任务。但张中南发现,事情并没有完全解决,他在11月之前监测过的代码泄露企业,依旧处于“裸奔”状态,这意味着阿里云并没有通知到代码泄露的企业。
今年 1 月 31 日,张中南再次联系了阿里云云效平台,希望事情得到处理。这次阿里云客服表示:“作为公有云的代码托管,我们无权扫描用户的代码,这一点公有和私有一样,仓库的开放性是用户自主的权利。”阿里云称,感谢张中南的反馈,会将其反馈到的信息给到其发现的几个仓库的维护者,但同时也建议张中南可以直接通过 commit 的邮箱与维护者进行提示。
目前,阿里云云效平台建库操作页面为中文,默认权限为“私有”。
阿里云的回应
对此,阿里云回应称,我们提供了Private(私有)、Internal(站内登录可见)、Public(完全公开)三个访问权限选项。默认代码访问权限为Private(私有),用户可以手动更改为其他选项,目前正在评估、改进相关产品设计。
到底是谁的锅呢?
网络尖刀团队曲子龙撰文反驳了铅笔道对此事件报道的论调,他认为,文章描述实际泄漏源过度倾向于问题出自“阿里云代码托管平台”,但事实上并非如此。
曲子龙指出,程序员误传代码,把包含敏感信息的项目传到了开源平台,这是一个常年累积下来的幺蛾子病。
也有人认为,阿里云未尽到提示义务。
某知乎用户则如此评价:
对此,你们怎么看呢?
扫一扫
7543
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
