近日,阿里云云效平臺被曝出現源代碼泄露企業,涉及40家企業共200餘項目,甚至波及用戶隱私敏感數據。晚些時候,阿里雲就此事作出迴應,並在網站醒目標識並給出告警。
今天,一篇題爲《獨家 | 阿里雲出現源代碼泄露企業 涉及萬科等40家企業200餘項目》的文章吸引了不少關注。文章披露,阿里巴巴旗下一站式研發提效平臺——雲效平臺,只要通過賬號正常登陸進去,就可以看到很多公司的“內部”代碼,甚至不少用戶敏感信息被泄露,涉及公司包括萬科集團、咪咕音樂、百度無人車合作伙伴ecarx等。
根據瞭解,出現該問題的主要原因在於提交者對“Internal”一詞的不同理解。在雲效平臺提交代碼,默認可以選擇三種方式:Private、Internal和Public。私有與公開很好理解,唯獨Internal一詞出現爭議,這些代碼被公開的企業可能將其理解爲公司內部公開,因此將默認狀態下的Private權限更改爲Internal。但是,Internal的真正含義是平臺公開而非公司內部公開,一旦選擇該選項,就意味着數據對整個雲效平臺公開,所有用戶均可訪問,這也是造成本次“源碼泄露”事件的主要原因。
針對此事,InfoQ編輯部第一時間與阿里雲取得聯繫。對此,阿里雲迴應如下:
阿里雲方面表示,2018年9月底,阿里雲曾增強對Internal權限的中文註解,並於近日發出全站通知提醒。同時,阿里雲正在逐一通知之前將訪問權限設爲Internal的開發者用戶,確保大家正確理解該訪問權限的含義,並將繼續評估、改進相關產品設計,讓所有開發者有一個更安全、清晰的使用體驗。
對此,開發者的反應各有不一,有人認爲Internal一詞在國內更多被翻譯爲內部,國外則更多理解爲平臺公開,國內外對於同一詞彙的理解存在誤差,阿里雲應該給出更加具體的說明;也有網友表示,代碼託管平臺的設計大致相仿,幾乎每個平臺都採用Internal一詞表示平臺公開,長期編程的技術人員不可能產生誤解;另外,也有不少人對數據表示懷疑,認爲該量級的企業不會將內部非公開代碼託管到公共平臺,而是應該放在私有平臺存儲。
對於被提到的幾家代碼公開的企業,部分已經第一時間將狀態更改爲Private,暫未出現更大規模信息泄露,阿里雲也表示將主動聯繫平臺內項目狀態設置爲“Internal”的客戶,第一時間確實是否存在其他風險。據瞭解,目前該平臺已經醒目給出告警。正常狀態下,項目默認爲私有,手動更改請慎重選擇。
回顧 2018 年,全球數據泄露事件不斷,當事公司不乏技術實力雄厚、人才充足的大型互聯網企業,個別企業的安全漏洞甚至被黑客利用數年之久,泄露的總體數據量超過 10 億。其中,比較大型的幾起事件有萬豪國際集團官方微博聲明,喜達屋旗下酒店客戶預訂數據庫被黑客入侵,在 2018 年 9 月 10 日或之前曾在該酒店預定的最多 5 億條客戶數據或被泄露;華住集團被曝數據泄露,用戶信息在暗網公開出售,標價 8 個比特幣(當時的市值大約等價 37 萬人民幣),被泄露用戶信息近 5 億;2019剛開年,單單Elasticsearch 數據泄露事件一個月就發生了6起。
無論是大型雲廠商還是企業,都應該加強代碼安全意識,尤其是涉及用戶敏感信息的數據。對於擁有大量隱私數據的企業而言,加強內部員工管理也很關鍵,內因往往是造成此類事件發生的最大原因之一。第三方代碼平臺應該加強管理和風險告知能力,企業層面也需要加強員工培訓並在做出選擇之前進行合理風險評估。一旦出現信息泄露,第一時間對泄露數據和代碼進行清理,以免發酵被黑客利用。
對於此事,各有各的說法,你對"Internal“一詞作何理解?你認爲這個鍋應該誰背呢?