香港正版铁算盘彩图

阿里云40家有名企业源代码“泄露”,谁的锅?

更新时间:2019-02-24

张中南称,去年 8 月下旬他注册了一个阿里云平台账号,却意外发当初阿里云效平台上,只有登上账号,就能浏览到很多公司的“内部”代码。

张中南发现潜在安全危险后,与其中一些保险公司的一线工程师联系,通知对方修改了设置。考虑到自己的“义举”可能对自身带来法律危险,2018 年 11 月,他将51信用卡在阿里云 code 上托管的代码项目 51足迹 App,因为权限配置不当而泄露的情形告诉了云效客服,渴望阿里云能发个站内信告诉这部分公司。

张中南认为,之所以浮现这种情况,可能是因为这些公司的程序员在给项目建库时操作不当,将项目权限设置成“平台公然”。由于当时的阿里云代码托管业务还是全英文平台,可能很多企业在创建项目的时候会误决定“internal”,也就是“平台公开”。

最初,张中南以为这些代码是开源的,但这些代码内容良多都是不该涌当初开源项目中的。比喻,项目标数据库、账号、密码等。抱着测试一下的态度,张中南登录了这些账号跟密码,却发现了一些公司生产环境的具体数据。

2 月 22 日,据铅笔道报道,上海一家科技公司的后端工程师张中南爆料,阿里云代码托管平台的名目权限设置存在歧义,导致开发者操作失误,造成至少 40 家以上企业的 200 多个名目代码泄露,其中波及到万科集团、咪咕音乐、51信誉卡旗下51脚印、百度无人车配合错误 ecarx 等有名企业,他半年前已经发明此事,并向阿里云云效平台报告,问题至今未完整解决。

当时阿里云云效方面表示,张中南反馈的 51 信用卡旗下 51 足迹 App 后盾的代码,仓库级别设置为了“internal”,需要告知客户改为“private”的问题,已经关联任务。但张中南发现,事件并不完全解决,他在11月之前监测过的代码泄漏企业,仍然处于“裸奔”状态,这象征着阿里云并不告诉到代码泄露的企业。