阿里云泄漏原始码 逾40企业受害(图)

阿里巴巴集团旗下计算公司“阿里云”爆出泄漏原始码（图片来源：David Becker/Getty Images）

【看中国2019年2月25日讯】中国科技业资讯安全疑虑升高，阿里巴巴集团旗下计算公司“阿里云”被爆出泄漏原始码，涉及万科集团、咪咕音乐、五一信用卡旗下五一足迹、百度无人车合作伙伴ECARX等四十多家企业、两百多项计划，损失难以估计，且至今仍未完全解决。

中媒《铅笔道》报导，任职上海一家科技公司的后端工程师张中南爆料，去年八月他注册阿里云平台帐号后，意外发现阿里云存在严重资安漏洞，使用者只要登入阿里云帐号，就能浏览多家企业的“内部资料”，包括数据库、帐号、密码等商业机密。

张中南认为，之所以出现资安漏洞，是因阿里云受控代码（managed code）业务是全英文平台，且访问权限设置存在歧义，导致程式设计师在建置公司资料时，不慎将访问权限设置成“平台公开”（internal）。

张中南表示，发现潜在安全风险后，他曾通知其中部分公司修改资料项目权限，但此举存在法律风险，他转而直接告知阿里云客服，欲借由阿里云通知这些企业；然而，阿里云客服却“唬弄了事”，这些企业仍处于“资讯裸奔”状态。

阿里云周五表示，已加强对“Internal权限”的中文注解，并将操作页面改为中文，目前访问权限选项有“私有”（Private）、“站内登录可见”（Internal）、“完全公开”（Public）；并逐一通知将访问权限设为Internal的客户，试图填补资安漏洞。

不过，这次资安疑虑已在中国科技业蔓延，导致人心惶惶。