图片
产品搜索
k彩注册阿里云上40家企业代码“泄露”,包括36万名中小学生个人信息
作者:作者1    发布于:2019-02-23 08:12:50    文字:【】【】【
摘要:2月22日,媒体“铅笔道”发文称,只要登录阿里云效平台,就可以浏览万科集团、高德地图等40家企业

2月22日,媒体“铅笔道”发文称,只要登录阿里云效平台,就可以浏览万科集团、高德地图等40家企业的200余个项目代码,甚至可以通过代码中的账号、密码,获取36万中小学生的姓名、手机号和学校信息。对此,阿里云回应称,已于昨日发出全站通知提醒,正在逐一通知涉及到的开发者用户。

网络安全爱好者张中南是偶然发现这件事的。据报道,2018年8月下旬,张中南抱着学习的态度注册了阿里云效平台账号,却意外发现登录以后,能看到很多企业的“内部”代码,涉及万科集团、咪咕音乐、51信用卡旗下51足迹、百度无人车合作伙伴 ecarx 等至少40家企业的200余个项目。

刚开始他以为这些是开源代码,但后来他越来越觉得“不对劲”。比如教育应用服务平台浙江小虫科技的代码中暴露的数据库账号,可以直接查看36万条中小学生的姓名、手机号和学校数据;万科集团的生产环境oss密钥也在代码中泄露,通过该密钥可查看购房客户上传的身份证、各地销售人员报表等信息。

据了解,开发者在阿里云效平台上托管代码时,可以选择 private、internal、public中任一访问权限,分别代表私有、站内登录可见、公开。

张中南认为,其中internal权限存在歧义。“因为当时阿里云代码托管还是全英文平台,很多企业可能在创建项目时误选成"internal",也就是平台公开”。他指出,如果是个人使用代码托管,“internal”意思明确,就是使用这个平台的人都能访问;但如果是企业使用代码托管,则“internal”可能被理解为对企业内的用户都公开,或者对使用该代码托管平台的用户公开。

张中南曾经联系了一些项目代码处于暴露状态的企业, 企业也随后修改了访问权限。后来出于风险考虑,他选择不再联系企业,改为直接联系阿里云效平台,希望阿里云将此事告知企业。

然而一段时间以后,他发现上述企业项目代码泄露的情况依然存在。因此,张中南认为,阿里云并没有通知这些企业。文中还有一位曾使用过阿里云效平台的企业用户表示,他记得当时平台上代码的访问权限默认就是internal。

22日下午,阿里云发布声明回应称,阿里云效平台默认的访问权限为 private,并非上述用户所说的internal。声明里还提到,2018年9月底,阿里云增强了对 internal 的中文注解,并于昨日发出全站通知提醒,且正在逐一通知之前将访问权限设为 internal 的开发者用户,确保“大家正确理解该访问权限的含义”。

“任何产品功能理解上的歧义,都说明其在产品设计和用户体验上做得不够好。”阿里云表示,其正在评估、改进相关产品设计,让所有开发者有一个更安全、清晰的使用体验。

南京信息工程大学法政学院教授蒋洁认为,默认访问权限是决定阿里云责任的关键点。

她表示,如果默认的是internal,基于其可能产生的严重后果,即便是免费的代码托管,阿里云也有义务详细、明确、直接地向用户解释并用显著标识告知其可能导致的后果。

抛开默认访问权限不谈,阿里云平台虽然无权扫描用户代码、无法求证爆料者所说信息泄露风险,但是阿里云应尽到服务提供方的基本义务——首先排查平台是否存在漏洞,其次最好提示企业用户可能存在风险,避免损失产生或继续扩大。

对此,中国电子商务研究中心研究员、北京志霖律师事务所副主任赵占领也持相同观点,如果确有证据证明默认访问权限是internal,而阿里云又未对易产生歧义的internal进行解释,则阿里云存在一定过错。阿里云有责任对容易产生误解的英文添加中文注解和提示。此外,阿里云在接到投诉有用户的代码被泄露的反馈时,应该及时通知和提醒。

蒋洁表示,代码“泄露”的企业自身负有不可推卸的责任。她认为,即便默认访问权限是internal,开发者也负有审慎检查各项功能设置的责任。“英文不好或没看见之类的托词,在这里并不适用,毕竟还有private和public选项。”她表示,这显然是企业的开发人员并未尽到注意义务。

她指出,远程托管代码云平台是信息泄露工具监控的重灾区,企业应尽量避免上传敏感数据。“涉事企业显然在数据安全管理上存在漏洞。”她说。

赵占领也表示,企业在上传代码时权限设置错误,导致代码被泄露,其中包含的个人信息也随之泄露。主要原因还是上传者对于阿里云的功能设置不清楚或者存在误解。

隐私护卫队发现,在暴露的代码中,有些企业的数据库中包含个人信息,比如浙江小虫科技的数据库包含36万条中小学生的姓名、手机号和学校信息。对于谁该为此负责,两位专家持不同观点。

蒋洁表示,在这一事件中,事发后若是未曾告知涉事企业用户的阿里云、代码被泄露的企业及其相关开发人员,甚至是随意爬取数据的爆料者张中南,都对个人信息安全负有责任。

可是在赵占领看来,将代码上传至阿里云平台的行为属于职务行为,所以,对暴露的个人信息安全负责的应该是代码泄露的企业。

脚注信息
版权所有 Copyright(C)2018-2030 K彩娱乐官网