阿里云40家知名企业源代码“泄露”,谁的锅?

作者: 互联网资讯  发布:2019-12-13

张中南称,去年 8 月下旬他注册了一个阿里云平台账号,却意外发现在阿里云效平台上,只要登上账号,就能浏览到很多公司的“内部”代码。

这次,张中南找到了比邮件更好的方法:通过代码提交的记录,直接添加开发者的微信,再向他们告知。

CODING公司产品总监王振威对雷锋网表示,阿里云方面存在两个问题。第一,企业级产品可以这么随意的选择公开源码选项是有问题的,不符合企业管理的规范。第二,它提供了一个具有误导性的选项 internal,让用户误以为是内部项目,其实不是。此外,阿里云云效平台客服处置不当。“这个操作不需要扫描用户代码,应该及时通知所有用户检查自己项目的权限设置。”王振威说。

本以为事情可以圆满得到解决,因为张中南发现,在11月他与平台沟通之后,确实监测不到云效平台上再出现代码泄露项目的新公司了。然而,他发现,在11月之前监测过的代码泄露企业,依旧处于“裸奔”状态,这意味着阿里云并没有通知到代码泄露的企业。

托管怎么泄露的?就是创建托管项目分为“公开”和“私有”模式,很多程序员对公开和私有可能有什么误会,把本该私有模式的代码(阿里云默认就是私有模式),设置成为了公开,导致所有有公开权限的人都可以在这里 down 他原本需要设置成为“私有”的代码。

但在2016年1月,世纪佳缘报警称有4000余条实名注册信息被不法分子窃取。2016年3月8日,袁炜遭到警方刑事拘留,并于4月12日被批准逮捕。罪名是基于《刑法》285条第2款,入侵获取网络金融证券系统身份认证信息 10 条以上、一般系统 500 条以上,被认为情节严重。

我们收到开发者用户反馈,认为阿里云代码托管平台 code.aliyun.com 访问权限设置中的“Internal”选项存在理解歧义。

这也让张中南开始期望与这些公司对话,引起公司上层重视。之后,张中南通过网站留言的方式,联系了代码同样泄露了的上海某科技公司。

2 月 22 日,据铅笔道报道,上海一家科技公司的后端工程师张中南爆料,阿里云代码托管平台的项目权限设置存在歧义,导致开发者操作失误,造成至少 40 家以上企业的 200 多个项目代码泄露,其中涉及到万科集团、咪咕音乐、51信用卡旗下51足迹、百度无人车合作伙伴 ecarx 等知名企业,他半年前已经发现此事,并向阿里云云效平台报告,问题至今未完全解决。

在他看来,阿里云这样的知名云服务提供商,应该有告知代码泄露公司的义务。

该平台旨在为开发者提供代码托管与交流服务。我们提供了Private、Internal、Public三个访问权限选项。默认代码访问权限为Private,用户可以手动更改为其他选项。

一番研究过后,张中南猜测,之所以出现这种情况,可能是因为这些公司的程序员在给项目建库时操作不当,将项目权限设置成“平台公开”。

阿里云代码托管团队

这一次,张中南同样不知道阿里云是否通知了项目方。“虽然不知道阿里云是否联系了这些企业,但上述企业的代码泄露情况依然存在,可见它们并没有接到通知。”

最初,张中南以为这些代码是开源的,但这些代码内容很多都是不该出现在开源项目中的。比如,项目的数据库、账号、密码等。抱着测试一下的态度,张中南登录了这些账号和密码,却发现了一些公司生产环境的具体数据。

在阿里云云效平台上,只要登上账号,就能浏览到很多公司的“内部”代码。

和阿里云有什么关系?文章里又一个吐老血的狗屁剧情就这样发生了,文章描述阿里云存在的问题竟然是因为阿里云代码托管平台的业务,这些描述都是用英文写的!

此外,上海图聚智能科技有限公司的客户已经包括全国数百家医院和商场,以及高德地图等,它的代码近乎全部泄露。张中南称:“且不说其辛苦运营的数据如果被竞争对手全数获取会怎样,试想如果黑客把数据库中合作医院的地址改为某个‘不作为’的医院,后果也不堪设想。”

2018 年 9 月底,我们已经增强了对 Internal 权限的中文注解,并于昨日发出全站通知提醒。同时,我们正在逐一通知之前将访问权限设为 Internal 的开发者用户,确保大家正确理解该访问权限的含义。

金沙澳门官网dkk 1

目前,阿里云云效平台建库操作页面为中文,默认权限为“私有”。

张中南给互联网兼职平台发送的邮件截图。

当时阿里云云效方面表示,张中南反馈的 51 信用卡旗下 51 足迹 App 后台的代码,仓库级别设置为了“internal”,需要通知客户改为“private”的问题,已经关联任务。但张中南发现,事情并没有完全解决,他在11月之前监测过的代码泄露企业,依旧处于“裸奔”状态,这意味着阿里云并没有通知到代码泄露的企业。

在考虑了哥哥的意见后,张中南决定找阿里云官方渠道,希望阿里云能够通过平台来解决这件事。

曲子龙指出,程序员误传代码,把包含敏感信息的项目传到了开源平台,这是一个常年累积下来的幺蛾子病。

在此之前,用户数据泄露事件频繁发生,Facebook、Uber、华住、顺丰、万豪、陌陌等企业深陷其中。

自认为,即便是英文不认识,读读描述仍然是能搞的懂的问题,不知道为什么会成为一个直接导致“用户数据泄露”的大问题。”

金沙澳门官网dkk 2

张中南认为,之所以出现这种情况,可能是因为这些公司的程序员在给项目建库时操作不当,将项目权限设置成“平台公开”。因为当时的阿里云代码托管业务还是全英文平台,可能很多企业在创建项目的时候会误选择“internal”,也就是“平台公开”。

还有,基于微信的教育应用服务平台浙江小虫科技,泄漏代码为服务器监控中间件,代码中暴露出高权限生产环境数据库账号,可以直接登录查看线上数据。尝试登录阅览,其中一个数据库存储了36万条中小学生的姓名、手机号和学校。如果泄漏,后果不堪设想。

任何产品功能理解上的歧义,都说明我们在产品设计和用户体验上做得不够好。我们正在评估、改进相关产品设计,让所有开发者有一个更安全、清晰的使用体验。

2018年9月4日,张中南给这家互联网兼职平台的几位研发人员发送了一封邮件,告知对方公司项目在阿里云托管平台的代码存在安全隐患,并将建议也一并发给对方。

“GitHub 敏感信息泄露,已经成为了一项标准的安全测试流程了,这些问题都出自程序员本身对安全意识的匮乏,程序员要背锅,技术老大的锅也跑不了,能当的上团队的技术 leader 起码的安全风控意识,安全标准还是要有的吧?为什么没有有效的管理、培训、风控体系,才让程序员犯了这么低级的错误,导致出这一的大问题,我想是每一个技术负责人都该自我检讨和思考的。”曲子龙写道。

金沙澳门官网dkk 3

也有人认为,阿里云未尽到提示义务。

面对可能会引发的一系列难以想象的网络安全灾难,这位工作不到3年、年仅24岁的小伙子,有些不知所措。期间,他曾怀着忐忑的心情,一边怕惹上官司,一边又自己通过电邮、微信等方式联系了其中的十余家公司。

雷锋网发现,2 月 22 日下午 2 点左右,阿里云在其新浪微博上发布了关于 Internal 访问权限的说明:

他开始担心,“如果这些信息被人发现并利用,迟早有一天要出事。”

今年 1 月 31 日,张中南再次联系了阿里云云效平台,希望事情得到处理。这次阿里云客服表示:“作为公有云的代码托管,我们无权扫描用户的代码,这一点公有和私有一样,仓库的开放性是用户自主的权利。”阿里云称,感谢张中南的反馈,会将其反馈到的信息给到其发现的几个仓库的维护者,但同时也建议张中南可以直接通过 commit 的邮箱与维护者进行提示。

张中南回忆,为了害怕有人已经离职,他特地给该公司多个一线研发发送了邮件。

网络尖刀团队曲子龙撰文反驳了铅笔道《独家 | 阿里云出现源代码泄露企业 涉及万科等 40 家企业 200 余项目》该文的论调,他认为,文章描述实际泄漏源过度倾向于问题出自“阿里云代码托管平台”,但事实上并非如此。

他认为,“internal”的意思得因人而异。“如果是个人在使用代码托管,那么‘internal’的意义非常明确,就是使用这个平台的人都能访问。但如果是企业在使用代码托管,那么‘internal’的意义是‘对企业内的用户都公开’还是‘使用这个代码托管平台的人都能访问’呢?”

2019年2月22日

李杰继续称,阿里云后来将页面从英文变更为中文,就可以看出它们做了很多优化。“大家都是开发者,对于面向开发者的平台来说,也无须苛求太多。”

金沙澳门官网dkk 4

虽然担心自己会有和袁炜一样的遭遇,但最终,张中南的感性战胜了理智。

张中南发现潜在安全风险后,与其中一些安全公司的一线工程师联系,通知对方修改了设置。考虑到自己的“义举”可能对自身带来法律风险,2018 年 11 月,他将51信用卡在阿里云 code 上托管的代码项目 51足迹 App,因为权限配置不当而泄漏的情况告知了云效客服,希望阿里云能发个站内信告知这部分公司。

近日,作为网络安全方面的爱好者,上海一家科技公司的后端工程师张中南向铅笔道吐露了半年以来的这段经历。

“什么是代码托管?用大白话讲就是提供一个存代码的地方,企业可以像托管服务器一样,在上面自由存放托管代码。

多次沟通,问题未解

雷锋网注:上述部分信息援引自《程序员智障,你TMD打了个阿里标?》,曲子龙,网络尖刀;《独家 | 阿里云出现源代码泄露企业 涉及万科等40家企业200余项目》,付艳翠,铅笔道。

张中南震惊地发现,竟然真的能见到一些公司生产环境的具体数据。虽然离最初发现时已过去半年,但他如今描述时还是感到难以置信。“这其中的很多企业,竟把数据库也抛在公网上,任凭谁,只要按照里面记录的账号密码登录,就能访问。”

金沙澳门官网dkk 5

张中南解释,因为当时的阿里云代码托管业务还是全英文平台,可能很多企业在创建项目的时候会误选择“internal”,也就是“平台公开”。

金沙澳门官网dkk 6

金沙澳门官网dkk,张中南用一些他发现在阿里云平台上出现代码泄露的企业举例。比如,中国移动旗下咪咕音乐,泄漏后端代码及配置数据,包括访问高清曲库接口的密钥,访问中央音乐平台总线接口的密钥,支付密钥等。黑客可以根据代码逻辑和支付密钥,伪造支付成功请求。

今年1月31日,不甘心就这么算了的张中南再次联系了阿里云云效平台,并提供了几个大厂如咪咕音乐、百度无人车合作伙伴ecarx、51信用卡旗下的51足迹的泄露情况,希望事情得到处理。

近日,他向铅笔道爆料,半年前他发现,由于阿里云代码托管平台的项目权限设置存在歧义,导致开发者操作失误,造成至少40家以上企业的200多个项目代码泄露,其中涉及到万科集团、咪咕音乐、51信用卡旗下51足迹、百度无人车合作伙伴ecarx等知名企业,问题至今未完全解决。

在11月底,张中南在和其哥哥通电话时,说了他正在做的事情。但之后其哥哥了解了情况后,专程给张中南打电话劝他不要管了,因为这种做法法律风险很大。

金沙澳门官网dkk 7

“第二天,公司CTO就打来电话道谢。”说到这里,张中南显然很开心。因为他认为,这也证明他这么做下去是值得的。

注:本文内容主要来自铅笔道记者采访和网络公开信息,论据难免偏颇,不存在刻意误导。

张中南表示,名单中还漏掉了很多企业,因为他写的爬虫代码不是很好。解析过程中,一些页面解析错误就漏掉了。

金沙澳门官网dkk 8

他本寄希望于阿里云平台能帮忙一次性解决掉这些公司的安全隐患,经过多次沟通,他却发现依旧徒劳,让他百思不得其解的是,“阿里云只要向企业发个邮件、打个电话就能解决,有那么难吗?”

1月31日,张中南与阿里云客服对话截图。

“我是一个ruby工程师,java和php都是半吊子。在这里,我就像打开了新世界的大门。”他意外地发现,在阿里云效平台上,只要登上账号,能浏览到很多公司的“内部”代码。

金沙澳门官网dkk 9

为此,铅笔道采访了此前张中南联系过的一家公司,该公司研发人员李杰表示:“阿里云所说的向用户科普和使用规则,基本能够满足用户正常使用。但因人而异,因为我就没有过多的关注。”

本文由金沙澳门官网dkk发布于互联网资讯,转载请注明出处:阿里云40家知名企业源代码“泄露”,谁的锅?

关键词: