一个“Internal”牵扯出的代码泄露,阿里云独家回应
近日,阿里云云效平臺被曝出現(xiàn)源代碼泄露企業(yè),涉及40家企業(yè)共200余項目,甚至波及用戶隱私敏感數(shù)據(jù)。晚些時候,阿里云就此事作出回應(yīng),并在網(wǎng)站醒目標(biāo)識并給出告警。
今天,一篇題為《獨家 | 阿里云出現(xiàn)源代碼泄露企業(yè) 涉及萬科等40家企業(yè)200余項目》的文章吸引了不少關(guān)注。文章披露,阿里巴巴旗下一站式研發(fā)提效平臺——云效平臺,只要通過賬號正常登陸進去,就可以看到很多公司的“內(nèi)部”代碼,甚至不少用戶敏感信息被泄露,涉及公司包括萬科集團、咪咕音樂、百度無人車合作伙伴ecarx等。
根據(jù)了解,出現(xiàn)該問題的主要原因在于提交者對“Internal”一詞的不同理解。在云效平臺提交代碼,默認(rèn)可以選擇三種方式:Private、Internal和Public。私有與公開很好理解,唯獨Internal一詞出現(xiàn)爭議,這些代碼被公開的企業(yè)可能將其理解為公司內(nèi)部公開,因此將默認(rèn)狀態(tài)下的Private權(quán)限更改為Internal。但是,Internal的真正含義是平臺公開而非公司內(nèi)部公開,一旦選擇該選項,就意味著數(shù)據(jù)對整個云效平臺公開,所有用戶均可訪問,這也是造成本次“源碼泄露”事件的主要原因。
針對此事,InfoQ編輯部第一時間與阿里云取得聯(lián)系。對此,阿里云回應(yīng)如下:
阿里云方面表示,2018年9月底,阿里云曾增強對Internal權(quán)限的中文注解,并于近日發(fā)出全站通知提醒。同時,阿里云正在逐一通知之前將訪問權(quán)限設(shè)為Internal的開發(fā)者用戶,確保大家正確理解該訪問權(quán)限的含義,并將繼續(xù)評估、改進相關(guān)產(chǎn)品設(shè)計,讓所有開發(fā)者有一個更安全、清晰的使用體驗。
對此,開發(fā)者的反應(yīng)各有不一,有人認(rèn)為Internal一詞在國內(nèi)更多被翻譯為內(nèi)部,國外則更多理解為平臺公開,國內(nèi)外對于同一詞匯的理解存在誤差,阿里云應(yīng)該給出更加具體的說明;也有網(wǎng)友表示,代碼托管平臺的設(shè)計大致相仿,幾乎每個平臺都采用Internal一詞表示平臺公開,長期編程的技術(shù)人員不可能產(chǎn)生誤解;另外,也有不少人對數(shù)據(jù)表示懷疑,認(rèn)為該量級的企業(yè)不會將內(nèi)部非公開代碼托管到公共平臺,而是應(yīng)該放在私有平臺存儲。
對于被提到的幾家代碼公開的企業(yè),部分已經(jīng)第一時間將狀態(tài)更改為Private,暫未出現(xiàn)更大規(guī)模信息泄露,阿里云也表示將主動聯(lián)系平臺內(nèi)項目狀態(tài)設(shè)置為“Internal”的客戶,第一時間確實是否存在其他風(fēng)險。據(jù)了解,目前該平臺已經(jīng)醒目給出告警。正常狀態(tài)下,項目默認(rèn)為私有,手動更改請慎重選擇。
回顧 2018 年,全球數(shù)據(jù)泄露事件不斷,當(dāng)事公司不乏技術(shù)實力雄厚、人才充足的大型互聯(lián)網(wǎng)企業(yè),個別企業(yè)的安全漏洞甚至被黑客利用數(shù)年之久,泄露的總體數(shù)據(jù)量超過 10 億。其中,比較大型的幾起事件有萬豪國際集團官方微博聲明,喜達(dá)屋旗下酒店客戶預(yù)訂數(shù)據(jù)庫被黑客入侵,在 2018 年 9 月 10 日或之前曾在該酒店預(yù)定的最多 5 億條客戶數(shù)據(jù)或被泄露;華住集團被曝數(shù)據(jù)泄露,用戶信息在暗網(wǎng)公開出售,標(biāo)價 8 個比特幣(當(dāng)時的市值大約等價 37 萬人民幣),被泄露用戶信息近 5 億;2019剛開年,單單Elasticsearch 數(shù)據(jù)泄露事件一個月就發(fā)生了6起。
無論是大型云廠商還是企業(yè),都應(yīng)該加強代碼安全意識,尤其是涉及用戶敏感信息的數(shù)據(jù)。對于擁有大量隱私數(shù)據(jù)的企業(yè)而言,加強內(nèi)部員工管理也很關(guān)鍵,內(nèi)因往往是造成此類事件發(fā)生的最大原因之一。第三方代碼平臺應(yīng)該加強管理和風(fēng)險告知能力,企業(yè)層面也需要加強員工培訓(xùn)并在做出選擇之前進行合理風(fēng)險評估。一旦出現(xiàn)信息泄露,第一時間對泄露數(shù)據(jù)和代碼進行清理,以免發(fā)酵被黑客利用。
對于此事,各有各的說法,你對\u0026quot;Internal“一詞作何理解?你認(rèn)為這個鍋應(yīng)該誰背呢?
總結(jié)
以上是生活随笔為你收集整理的一个“Internal”牵扯出的代码泄露,阿里云独家回应的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 力扣(LeetCode)763
- 下一篇: 三种方式实现观察者模式 及 Spring