近日,阿里云云效平台被曝出现源代码泄露企业,涉及 40 家企业共 200 余项目,甚至波及用户隐私敏感数据。晚些时候,阿里云就此事作出回应,并在网站醒目标识并给出告警。
今天,一篇题为《独家 | 阿里云出现源代码泄露企业 涉及万科等 40 家企业 200 余项目》的文章吸引了不少关注。文章披露,阿里巴巴旗下一站式研发提效平台——云效平台,只要通过账号正常登陆进去,就可以看到很多公司的“内部”代码,甚至不少用户敏感信息被泄露,涉及公司包括万科集团、咪咕音乐、百度无人车合作伙伴 ecarx 等。
根据了解,出现该问题的主要原因在于提交者对“Internal”一词的不同理解。在云效平台提交代码,默认可以选择三种方式:Private、Internal 和 Public。私有与公开很好理解,唯独 Internal 一词出现争议,这些代码被公开的企业可能将其理解为公司内部公开,因此将默认状态下的 Private 权限更改为 Internal。但是,Internal 的真正含义是平台公开而非公司内部公开,一旦选择该选项,就意味着数据对整个云效平台公开,所有用户均可访问,这也是造成本次“源码泄露”事件的主要原因。
针对此事,InfoQ 编辑部第一时间与阿里云取得联系。对此,阿里云回应如下:
阿里云方面表示,2018 年 9 月底,阿里云曾增强对 Internal 权限的中文注解,并于近日发出全站通知提醒。同时,阿里云正在逐一通知之前将访问权限设为 Internal 的开发者用户,确保大家正确理解该访问权限的含义,并将继续评估、改进相关产品设计,让所有开发者有一个更安全、清晰的使用体验。
对此,开发者的反应各有不一,有人认为 Internal 一词在国内更多被翻译为内部,国外则更多理解为平台公开,国内外对于同一词汇的理解存在误差,阿里云应该给出更加具体的说明;也有网友表示,代码托管平台的设计大致相仿,几乎每个平台都采用 Internal 一词表示平台公开,长期编程的技术人员不可能产生误解;另外,也有不少人对数据表示怀疑,认为该量级的企业不会将内部非公开代码托管到公共平台,而是应该放在私有平台存储。
对于被提到的几家代码公开的企业,部分已经第一时间将状态更改为 Private,暂未出现更大规模信息泄露,阿里云也表示将主动联系平台内项目状态设置为“Internal”的客户,第一时间确实是否存在其他风险。据了解,目前该平台已经醒目给出告警。正常状态下,项目默认为私有,手动更改请慎重选择。
回顾 2018 年,全球数据泄露事件不断,当事公司不乏技术实力雄厚、人才充足的大型互联网企业,个别企业的安全漏洞甚至被黑客利用数年之久,泄露的总体数据量超过 10 亿。其中,比较大型的几起事件有万豪国际集团官方微博声明,喜达屋旗下酒店客户预订数据库被黑客入侵,在 2018 年 9 月 10 日或之前曾在该酒店预定的最多 5 亿条客户数据或被泄露;华住集团被曝数据泄露,用户信息在暗网公开出售,标价 8 个比特币(当时的市值大约等价 37 万人民币),被泄露用户信息近 5 亿;2019 刚开年,单单 Elasticsearch 数据泄露事件一个月就发生了 6 起。
无论是大型云厂商还是企业,都应该加强代码安全意识,尤其是涉及用户敏感信息的数据。对于拥有大量隐私数据的企业而言,加强内部员工管理也很关键,内因往往是造成此类事件发生的大原因之一。第三方代码平台应该加强管理和风险告知能力,企业层面也需要加强员工培训并在做出选择之前进行合理风险评估。一旦出现信息泄露,第一时间对泄露数据和代码进行清理,以免发酵被黑客利用。
对于此事,各有各的说法,你对 "Internal“一词作何理解?你认为这个锅应该谁背呢?
相关阅读: