阿里云方面表示,2018 年 9 月底,阿里云曾增強對 Internal 權限的中文注解,并于近日發出全站通知提醒。同時,阿里云正在逐一通知之前將訪問權限設為 Internal 的開發者用戶,確保大家正確理解該訪問權限的含義,并將繼續評估、改進相關產品設計,讓所有開發者有一個更安全、清晰的使用體驗。
對于此事,各有各的說法,你對 "Internal“一詞作何理解?你認為這個鍋應該誰背呢?
對于被提到的幾家代碼公開的企業,部分已經第一時間將狀態更改為 Private,暫未出現更大規模信息泄露,阿里云也表示將主動聯系平臺內項目狀態設置為“Internal”的客戶,第一時間確實是否存在其他風險。據了解,目前該平臺已經醒目給出告警。正常狀態下,項目默認為私有,手動更改請慎重選擇。
對此,開發者的反應各有不一,有人認為 Internal 一詞在國內更多被翻譯為內部,國外則更多理解為平臺公開,國內外對于同一詞匯的理解存在誤差,阿里云應該給出更加具體的說明;也有網友表示,代碼托管平臺的設計大致相仿,幾乎每個平臺都采用 Internal 一詞表示平臺公開,長期編程的技術人員不可能產生誤解;另外,也有不少人對數據表示懷疑,認為該量級的企業不會將內部非公開代碼托管到公共平臺,而是應該放在私有平臺存儲。
無論是大型云廠商還是企業,都應該加強代碼安全意識,尤其是涉及用戶敏感信息的數據。對于擁有大量隱私數據的企業而言,加強內部員工管理也很關鍵,內因往往是造成此類事件發生的最大原因之一。第三方代碼平臺應該加強管理和風險告知能力,企業層面也需要加強員工培訓并在做出選擇之前進行合理風險評估。一旦出現信息泄露,第一時間對泄露數據和代碼進行清理,以免發酵被黑客利用。
今天,一篇題為《獨家 | 阿里云出現源代碼泄露企業 涉及萬科等 40 家企業 200 余項目》的文章吸引了不少關注。文章披露,美國站群服務器 亞洲服務器,阿里巴巴旗下一站式研發提效平臺——云效平臺,只要通過賬號正常登陸進去,美國站群服務器 亞洲服務器,就可以看到很多公司的“內部”代碼,甚至不少用戶敏感信息被泄露,涉及公司包括萬科集團、咪咕音樂、百度無人車合作伙伴 ecarx 等。
回顧 2018 年,全球數據泄露事件不斷,當事公司不乏技術實力雄厚、人才充足的大型互聯網企業,個別企業的安全漏洞甚至被黑客利用數年之久,泄露的總體數據量超過 10 億。其中,比較大型的幾起事件有萬豪國際集團官方微博聲明,喜達屋旗下酒店客戶預訂數據庫被黑客入侵,在 2018 年 9 月 10 日或之前曾在該酒店預定的最多 5 億條客戶數據或被泄露;華住集團被曝數據泄露,用戶信息在暗網公開出售,標價 8 個比特幣(當時的市值大約等價 37 萬人民幣),被泄露用戶信息近 5 億;2019 剛開年,單單 Elasticsearch 數據泄露事件一個月就發生了 6 起。
近日,阿里云云效平臺被曝出現源代碼泄露企業,涉及 40 家企業共 200 余項目,甚至波及用戶隱私敏感數據。晚些時候,阿里云就此事作出回應,并在網站醒目標識并給出告警。
根據了解,出現該問題的主要原因在于提交者對“Internal”一詞的不同理解。在云效平臺提交代碼,默認可以選擇三種方式:Private、Internal 和 Public。私有與公開很好理解,唯獨 Internal 一詞出現爭議,這些代碼被公開的企業可能將其理解為公司內部公開,因此將默認狀態下的 Private 權限更改為 Internal。但是,Internal 的真正含義是平臺公開而非公司內部公開,一旦選擇該選項,就意味著數據對整個云效平臺公開,所有用戶均可訪問,這也是造成本次“源碼泄露”事件的主要原因。
