阿里雲洩漏原始碼 逾40企業受害(圖)
阿里巴巴集團旗下計算公司「阿里雲」爆出洩漏原始碼(圖片來源:David Becker/Getty Images)
【看中国2019年2月25日讯】中國科技業資訊安全疑慮升高,阿里巴巴集團旗下計算公司「阿里雲」被爆出洩漏原始碼,涉及萬科集團、咪咕音樂、五一信用卡旗下五一足跡、百度無人車合作夥伴ECARX等四十多家企業、兩百多項計畫,損失難以估計,且至今仍未完全解決。
中媒《鉛筆道》報導,任職上海一家科技公司的後端工程師張中南爆料,去年八月他註冊阿里雲平台帳號後,意外發現阿里雲存在嚴重資安漏洞,使用者只要登入阿里雲帳號,就能瀏覽多家企業的「內部資料」,包括數據庫、帳號、密碼等商業機密。
張中南認為,之所以出現資安漏洞,是因阿里雲受控代碼(managed code)業務是全英文平台,且訪問權限設置存在歧義,導致程式設計師在建置公司資料時,不慎將訪問權限設置成「平台公開」(internal)。
張中南表示,發現潛在安全風險後,他曾通知其中部分公司修改資料項目權限,但此舉存在法律風險,他轉而直接告知阿里雲客服,欲藉由阿里雲通知這些企業;然而,阿里雲客服卻「唬弄了事」,這些企業仍處於「資訊裸奔」狀態。
阿里雲週五表示,已加強對「Internal權限」的中文註解,並將操作頁面改為中文,目前訪問權限選項有「私有」(Private)、「站內登錄可見」(Internal)、「完全公開」(Public);並逐一通知將訪問權限設為Internal的客戶,試圖填補資安漏洞。
不過,這次資安疑慮已在中國科技業蔓延,導致人心惶惶。