近日,阿里云云效平台被曝出现源代码泄露企业,涉及 40 家企业共 200 余项目,甚至波及用户隐私敏感数据。晚些时候,阿里云就此事作出回应,并在网站醒目标识并给出告警。

今天,一篇题为《独家 | 阿里云出现源代码泄露企业 涉及万科等 40 家企业 200 余项目》的文章吸引了不少关注。文章披露,阿里巴巴旗下一站式研发提效平台——云效平台,只要通过账号正常登陆进去,就可以看到很多公司的“内部”代码,甚至不少用户敏感信息被泄露,涉及公司包括万科集团、咪咕音乐、百度无人车合作伙伴 ecarx 等。

根据了解,出现该问题的主要原因在于提交者对“Internal”一词的不同理解。在云效平台提交代码,默认可以选择三种方式:Private、Internal 和 Public。私有与公开很好理解,唯独 Internal 一词出现争议,这些代码被公开的企业可能将其理解为公司内部公开,因此将默认状态下的 Private 权限更改为 Internal。但是,Internal 的真正含义是平台公开而非公司内部公开,一旦选择该选项,就意味着数据对整个云效平台公开,所有用户均可访问,这也是造成本次“源码泄露”事件的主要原因。

针对此事,InfoQ 编辑部第一时间与阿里云取得联系。对此,阿里云回应如下:

3UfY7vI

阿里云方面表示,2018 年 9 月底,阿里云曾增强对 Internal 权限的中文注解,并于近日发出全站通知提醒。同时,阿里云正在逐一通知之前将访问权限设为 Internal 的开发者用户,确保大家正确理解该访问权限的含义,并将继续评估、改进相关产品设计,让所有开发者有一个更安全、清晰的使用体验。

对此,开发者的反应各有不一,有人认为 Internal 一词在国内更多被翻译为内部,国外则更多理解为平台公开,国内外对于同一词汇的理解存在误差,阿里云应该给出更加具体的说明;也有网友表示,代码托管平台的设计大致相仿,几乎每个平台都采用 Internal 一词表示平台公开,长期编程的技术人员不可能产生误解;另外,也有不少人对数据表示怀疑,认为该量级的企业不会将内部非公开代码托管到公共平台,而是应该放在私有平台存储。

对于被提到的几家代码公开的企业,部分已经第一时间将状态更改为 Private,暂未出现更大规模信息泄露,阿里云也表示将主动联系平台内项目状态设置为“Internal”的客户,第一时间确实是否存在其他风险。据了解,目前该平台已经醒目给出告警。正常状态下,项目默认为私有,手动更改请慎重选择。

EZfQjuJ

回顾 2018 年,全球数据泄露事件不断,当事公司不乏技术实力雄厚、人才充足的大型互联网企业,个别企业的安全漏洞甚至被黑客利用数年之久,泄露的总体数据量超过 10 亿。其中,比较大型的几起事件有万豪国际集团官方微博声明,喜达屋旗下酒店客户预订数据库被黑客入侵,在 2018 年 9 月 10 日或之前曾在该酒店预定的最多 5 亿条客户数据或被泄露;华住集团被曝数据泄露,用户信息在暗网公开出售,标价 8 个比特币(当时的市值大约等价 37 万人民币),被泄露用户信息近 5 亿;2019 刚开年,单单 Elasticsearch 数据泄露事件一个月就发生了 6 起。

无论是大型云厂商还是企业,都应该加强代码安全意识,尤其是涉及用户敏感信息的数据。对于拥有大量隐私数据的企业而言,加强内部员工管理也很关键,内因往往是造成此类事件发生的大原因之一。第三方代码平台应该加强管理和风险告知能力,企业层面也需要加强员工培训并在做出选择之前进行合理风险评估。一旦出现信息泄露,第一时间对泄露数据和代码进行清理,以免发酵被黑客利用。

对于此事,各有各的说法,你对 "Internal“一词作何理解?你认为这个锅应该谁背呢?

相关阅读:

2019年云计算十大趋势:云成为获取人工智能主要途径  

寒冬蔓延?5G、云计算加持的万亿级工业互联网能否拯救市场?  

关注中国IDC圈官方微信:idc-quan 我们将定期推送IDC产业最新资讯

查看心情排 行你看到此篇文章的感受是:


  • 支持

  • 高兴

  • 震惊

  • 愤怒

  • 无聊

  • 无奈

  • 谎言

  • 枪稿

  • 不解

  • 标题党
2023-09-11 18:37:24
云资讯 吴泳铭接替张勇出任阿里云代理董事长与CEO
阿里巴巴公司将继续执行之前宣布的计划,对阿里云智能集团进行分拆。 <详情>
2023-07-21 09:43:58
2023-05-04 17:29:44
市场情报 平台赋能技术创新,阿里云天池持续助力全球顶尖算法大赛
“顶会”“期刊”一直以来都是学术领域最重要的前沿技术分享阵地。在计算机领域,全球顶会也代表着来自世界各地的顶尖算法创新竞赛。 <详情>
2022-12-21 09:24:34
机房建设 阿里云在日本东京正式启用第三座数据中心
此前,阿里云已于2016年和2019年在日本先后设立两座数据中心,成立本地公司,服务于游戏、制造、零售和汽车等多个领域。在日本东京正式启用第三座数据中心以满足快速增长的 <详情>
2022-11-11 12:01:00
云资讯 阿里云大数据平台ODPS入选2022年世界互联网领先科技成果
11月9日,2022年世界互联网领先科技成果发布活动在世界互联网大会乌镇峰会期间举办,评选出具有国际代表性的年度领先科技成果,由阿里云自主研发的大数据智能计算平台ODPS入 <详情>