阿里云泄漏原始码 逾40企业受害(图)
阿里巴巴集团旗下计算公司“阿里云”爆出泄漏原始码(图片来源:David Becker/Getty Images)
【看中国2019年2月25日讯】中国科技业资讯安全疑虑升高,阿里巴巴集团旗下计算公司“阿里云”被爆出泄漏原始码,涉及万科集团、咪咕音乐、五一信用卡旗下五一足迹、百度无人车合作伙伴ECARX等四十多家企业、两百多项计划,损失难以估计,且至今仍未完全解决。
中媒《铅笔道》报导,任职上海一家科技公司的后端工程师张中南爆料,去年八月他注册阿里云平台帐号后,意外发现阿里云存在严重资安漏洞,使用者只要登入阿里云帐号,就能浏览多家企业的“内部资料”,包括数据库、帐号、密码等商业机密。
张中南认为,之所以出现资安漏洞,是因阿里云受控代码(managed code)业务是全英文平台,且访问权限设置存在歧义,导致程式设计师在建置公司资料时,不慎将访问权限设置成“平台公开”(internal)。
张中南表示,发现潜在安全风险后,他曾通知其中部分公司修改资料项目权限,但此举存在法律风险,他转而直接告知阿里云客服,欲借由阿里云通知这些企业;然而,阿里云客服却“唬弄了事”,这些企业仍处于“资讯裸奔”状态。
阿里云周五表示,已加强对“Internal权限”的中文注解,并将操作页面改为中文,目前访问权限选项有“私有”(Private)、“站内登录可见”(Internal)、“完全公开”(Public);并逐一通知将访问权限设为Internal的客户,试图填补资安漏洞。
不过,这次资安疑虑已在中国科技业蔓延,导致人心惶惶。