感性戰勝理智

在11月底，張中南在和其哥哥通電話時，說了他正在做的事情。但之后其哥哥了解了情況后，專程給張中南打電話勸他不要管了，因為這種做法法律風險很大。

遲遲沒有回復，也讓張中南產生了猶豫。“畢竟當時是鼓起很大勇氣才發郵件的，因為怕他們報警。”

張中南聯系泄露公司時的對話截圖（張中南提供）。

針對網友反應的問題，阿里云云效平臺表示：“針對部分用戶不那么熟悉此類平臺，我們也會展開一些科普與使用規則提醒，確保大家對自己分享的代碼有清晰的認知。”

2018年9月4日，張中南給這家互聯網兼職平臺的幾位研發人員發送了一封郵件，告知對方公司項目在阿里云托管平臺的代碼存在安全隱患，并將建議也一并發給對方。

在阿里云云效平臺上，只要登上賬號，能瀏覽到很多公司的“內部”代碼。

張中南回憶，為了害怕有人已經離職，他特地給該公司多個一線研發發送了郵件。

本以為事情可以圓滿得到解決，因為張中南發現，在11月他與平臺溝通之后，確實監測不到云效平臺上再出現代碼泄露項目的新公司了。然而，他發現，在11月之前監測過的代碼泄露企業，依舊處于“裸奔”狀態，這意味著阿里云并沒有通知到代碼泄露的企業。

為此，鉛筆道采訪了此前張中南聯系過的一家公司，該公司研發人員李杰（化名）表示：“阿里云所說的向用戶科普和使用規則，基本能夠滿足用戶正常使用。但因人而異，因為我就沒有過多的關注。”

張中南介紹，雖然萬科集團泄露代碼不多，但生產環境oss密鑰泄漏了出來。該密鑰權限非常大，可以訪問整個萬科集團的線上oss，包括購房客戶上傳的身份證，各地銷售人員報表等。而這些信息，對黑客來說，無疑是一個寶庫。

在他看來，阿里云這樣的知名云服務提供商，應該有告知代碼泄露公司的義務。

這次，阿里云客服表示：“作為公有云的代碼托管，我們無權掃描用戶的代碼，這一點公有和私有一樣，倉庫的開放性是用戶自主的權利。”也就是說，阿里云作為代碼服務平臺，無權掃描用戶代碼。而代碼不管是平臺公開，還是私有，都是用戶的權利。

在此之前，用戶數據泄露事件頻繁發生，Facebook、Uber、華住、順豐、萬豪、陌陌等企業深陷其中。

近日，作為網絡安全方面的愛好者，上海一家科技公司的后端工程師張中南向鉛筆道吐露了半年以來的這段經歷。

他認為，“internal”的意思得因人而異。“如果是個人在使用代碼托管，那么‘internal’的意義非常明確，就是使用這個平臺的人都能訪問。但如果是企業在使用代碼托管，那么‘internal’的意義是‘對企業內的用戶都公開’還是‘使用這個代碼托管平臺的人都能訪問’呢？”

最初，張中南以為這些代碼是開源的。這個發現，讓他在最初感到非常欣喜。“這些項目大多數是用java和php寫的，看企業里面真正的項目，要比自己看書摸索要真實一些。”

在張中南提供的泄露代碼公司的表格里，有28家公司、共235個項目的代碼存在泄露風險。這里還不包括張中南此前自己聯系過的10余家公司。

“第二天，公司CTO就打來電話道謝。”說到這里，張中南顯然很開心。因為他認為，這也證明他這么做下去是值得的。

一番研究過后，張中南猜測，之所以出現這種情況，可能是因為這些公司的程序員在給項目建庫時操作不當，將項目權限設置成“平臺公開”。

張中南是一位網絡安全方面的愛好者，同時也是上海一家科技公司的后端工程師。

張中南給互聯網兼職平臺發送的郵件截圖（張中南提供）。

張中南通過電話聯系了對方創始人，對方很快將代碼泄漏情況全部處理。事后，張中南表示：“想想還蠻開心的，今天保護了幾十萬個小孩子的隱私。”

張中南震驚地發現，竟然真的能見到一些公司生產環境的具體數據。雖然離最初發現時已過去半年，但他如今描述時還是感到難以置信。“這其中的很多企業，竟把數據庫也拋在公網上，任憑誰，只要按照里面記錄的賬號密碼登錄，就能訪問。”

張中南表示，名單中還漏掉了很多企業，因為他寫的爬蟲代碼不是很好。解析過程中，云服務器租用，一些頁面解析錯誤就漏掉了。

“現在阿里云面對的是幾十家企業，幾百個項目的代碼泄露。而阿里云只要發個郵件、打個電話就能避免，打個電話那么難嗎？”對于這個問題，張中南百思不得其解。他認為，阿里云這種不作為行為，會讓這件事情有可能變得十分嚴重。

這一次，張中南同樣不知道阿里云是否通知了項目方。“雖然不知道阿里云是否聯系了這些企業，但上述企業的代碼泄露情況依然存在，可見它們并沒有接到通知。”

11月26日，張中南與阿里云客服對話截圖（張中南提供）。

他開始擔心，“如果這些信息被人發現并利用，遲早有一天要出事。”

當時阿里云云效方面表示，張中南反饋的51信用卡旗下51足跡app后臺的代碼，倉庫級別設置為了“internal”，需要通知客戶改為“private”的問題，已經關聯任務。

2018年9月，華住旗下酒店漢庭、桔子、全季等開房數據泄露事件，就是華住程序員將數據庫的用戶名、密碼，上傳至公共代碼托管平臺導致的。據悉，泄露的房客信息包括名字、郵寄地址、郵箱地址、電話號碼、護照號碼、出生日期、性別、到達和離店信息等，已經構成一種完整意義上的個人大數據。

當時之所以建站出錯，李杰回憶，是因為在建站的時候，云效還是全英文平臺，他記得當時權限控制默認確實是“internal”，“主要是程序員個人建庫的時候疏忽了。”

今年1月31日，不甘心就這么算了的張中南再次聯系了阿里云云效平臺，并提供了幾個大廠如咪咕音樂、百度無人車合作伙伴ecarx、51信用卡旗下的51足跡的泄露情況，希望事情得到處理。

世紀佳緣網白帽子事件發生在2015年12月，在2016年6月，被白帽子父親披露。

但消沉幾天后，張中南還是覺得應該去做些事情，繼續將這個發現告訴涉事公司。

11月26日晚，張中南將51信用卡在阿里云code上托管的代碼項目51足跡app，因為權限配置不當而泄漏的情況告知了云效客服。他并表明，希望阿里云能發個站內信告知這部分公司。