阿里云被爆泄露多家企业200多个项目的代码和隐私数据
近日在新浪微博上流传阿里云旗下云效平台泄露多家企业数据,涉及到的企业包括中移动和万科等大型企业。
发现此问题的网络工程师表示只要登录阿里云云效平台即可浏览很多公司内部代码包括其中存储的敏感信息。
泄露的个人敏感信息包括部分用户身份证号、手机号以及手持身份证拍照等,企业信息包括销售人员报表等。
例如万科被爆出泄露的是阿里云OSS密钥,拥有密钥后可访问万科存储的购房者手持身份证照片和销售报表。
高德地图咪咕音乐也被泄露:
据网帖称包括高德地图和咪咕音乐在内的知名公司数据也遭到泄露,例如高德地图的部分代码和运营数据等。
而咪咕音乐则是任何人登录阿里云云效平台都可以下载存储的音乐,对咪咕音乐来说可能造成重大经济损失。
不过目前尚不清楚具体有多少数据已经遭到第三方非法窃取,具体被牵涉到的企业有多少家也没有确切数据。
经媒体发酵后阿里云云效挂出新通知:
代码仓权限设置错误是根本原因:
这次数据泄露事件本质上并不是阿里云产品本身出现故障,而是企业级用户设置代码仓时将其权限选择错误。
云效平台代码仓有以下几种权限:Private私有权限、Public公开权限以及最后Internal站内用户可访问权限。
而出现问题的企业多数代码仓设置的为Internal 权限,只要用户登录阿里云云效平台即可查看其他代码仓库。
争议:默认的权限到底是什么
有涉事公司工程师表示当初建站时云效平台还是全英文平台,而新建代码仓时默认权限就是Internal 半公开。
该工程师也承认新建代码时存在失误没有查询Internal 权限的含义,最终酿成大量数据可能遭到泄露的问题。
但对此阿里云官方发布声明给予否认,阿里云表示云效平台和 GitHub 相同默认权限都是私有但用户可更改。
阿里云的意思差不多就是原本默认私有权限但企业自己新建代码仓改成半公开的,才导致数据出现泄露问题。
而涉事企业工程师则是再回应表示新建3 个项目都核对过,不可能在新建后主动将代码仓权限设置为半公开。
工程师指责阿里云不作为:
最初发现该问题的工程师在半年前发现此问题后就已经联系阿里云,但多次沟通未果所以只能私下联系企业。
直到 2018年11月 阿里云将其中的部分问题解决:阿里云云效平台不能再检测到泄露代码项目的新进驻公司。
然而之前已经建立代码仓并设置半公开的企业依然处于裸奔状态,这意味着阿里云未主动通知企业改进权限。
今年1月31日 该工程师再次联系阿里云并提供咪咕音乐以及其他公司的泄露数据希望阿里云能彻底解决问题。
但阿里云表示作为公有云托管平台无权扫描用户代码,因此拒绝联系企业以及将泄露数据的仓库设置私有权。
阿里云最新声明表示正在逐个通知泄露企业:
经媒体发酵后阿里云已经在昨日发布声明表示发布全站通知和逐一联系此前设置半公开权限的企业和开发者。
同时阿里云表示针对权限英文理解歧义问题已经在2018年9月进行修改,对Internal 权限添加文字注解说明。
不过针对当初是否默认设置Internal 权限暂时还没有结论,按理说开发者不大可能会主动修改为半公开权限。
权限设置问题引发的数据泄露重大:
此前全球云计算业务的龙头老大亚马逊也被发现此类问题,当时大量企业托管在亚马逊的数据设置公开状态。
严格来说这种数据泄露与亚马逊本身没有太大关系,毕竟权限选项已经提供但企业自己设置公开不能怪别人。
这次阿里云云效平台的问题也同样如此,对于企业代码维护者来说没有仔细查证Internal 权限是肯定不对的。
而阿里云接到用户反馈数据泄露依然还不通知客户当然也是错的,即便用户出错作为服务商也有义务去提醒。
从去年9 月开始拖到现在才表示发全站通知通知客户可见效率极低,如果当初立即处理问题也不会闹这么大。