據鉛筆道訊息,一工程師(張中南)爆料阿里雲託管平臺專案設定存在歧義,導致開發者操作失誤,造成至少40家以上企業的200多個專案程式碼洩露。其中涉及到萬科集團、咪咕音樂、51信用卡旗下51足跡、百度無人車合作伙伴ecarx等知名企業。他半年前已經發現此事,並向阿里云云效平臺報告,問題至今未完全解決。
以下為具體詳情(摘自鉛筆報導)
張中南稱,去年 8 月下旬他註冊了一個阿里雲平臺賬號,卻意外發現在阿里雲效平臺上,只要登上賬號,就能瀏覽到很多公司的“內部”程式碼。
最初,張中南以為這些程式碼是開源的,但這些程式碼內容很多都是不該出現在開源專案中的。比如,專案的資料庫、賬號、密碼等。抱著測試一下的態度,張中南登入了這些賬號和密碼,卻發現了一些公司生產環境的具體資料。
張中南認為,之所以出現這種情況,可能是因為這些公司的程式設計師在給專案建庫時操作不當,將專案許可權設定成“平臺公開”。因為當時的阿里雲程式碼託管業務還是全英文平臺,可能很多企業在建立專案的時候會誤選擇“internal”,也就是“平臺公開”。
張中南發現潛在安全風險後,與其中一些安全公司的一線工程師聯絡,通知對方修改了設定。考慮到自己的“義舉”可能對自身帶來法律風險,2018 年 11 月,他將51信用卡在阿里雲 code 上託管的程式碼專案 51足跡 App,因為許可權配置不當而洩漏的情況告知了雲效客服,希望阿里雲能發個站內信告知這部分公司。
當時阿里云云效方面表示,張中南反饋的 51 信用卡旗下 51 足跡 App 後臺的程式碼,倉庫級別設定為了“internal”,需要通知客戶改為“private”的問題,已經關聯任務。但張中南發現,事情並沒有完全解決,他在11月之前監測過的程式碼洩露企業,依舊處於“裸奔”狀態,這意味著阿里雲並沒有通知到程式碼洩露的企業。
今年 1 月 31 日,張中南再次聯絡了阿里云云效平臺,希望事情得到處理。這次阿里雲客服表示:“作為公有云的程式碼託管,我們無權掃描使用者的程式碼,這一點公有和私有一樣,倉庫的開放性是使用者自主的權利。”阿里雲稱,感謝張中南的反饋,會將其反饋到的資訊給到其發現的幾個倉庫的維護者,但同時也建議張中南可以直接通過 commit 的郵箱與維護者進行提示。
目前,阿里云云效平臺建庫操作頁面為中文,預設許可權為“私有”。
阿里雲的迴應
對此,阿里雲迴應稱,我們提供了Private(私有)、Internal(站內登入可見)、Public(完全公開)三個訪問許可權選項。預設程式碼訪問許可權為Private(私有),使用者可以手動更改為其他選項,目前正在評估、改進相關產品設計。
到底是誰的鍋呢?
網路尖刀團隊曲子龍撰文反駁了鉛筆道對此事件報導的論調,他認為,文章描述實際洩漏源過度傾向於問題出自“阿里雲程式碼託管平臺”,但事實上並非如此。
曲子龍指出,程式設計師誤傳程式碼,把包含敏感資訊的專案傳到了開源平臺,這是一個常年累積下來的么蛾子病。
也有人認為,阿里雲未盡到提示義務。
某知乎使用者則如此評價:
對此,你們怎麼看呢?