阿里云因源代码泄露进“2019云企业事故榜” 当时张剑锋才上任数月

PigSay 2020-02-21 阅读:123

运营商财经网八卦叨/文

此前,运营商财经网公布了“2019年度云企业事故榜”,阿里云因出现源代码泄露导致40多家企业200余项目出现问题而上榜,这究竟是怎么一回事呢?

去年2月22日,有媒体曝出由于阿里云代码托管平台的项目权限设置存在歧义,导致开发者操作失误,造成至少40家以上企业的200多个项目代码泄露,其中涉及到万科集团、咪咕音乐、51信用卡旗下51足迹、百度无人车合作伙伴ecarx等知名企业。

源代码泄露半年导致超40家企业数据“裸奔”

而事实上,在媒体曝出之前,该“泄露”事件已经存在半年之久。同是此次事件的受害方,上海一家科技公司的后端工程师张某表示,在2018年阿里云推广的云效平台上,他就发现,只要登上账号,能浏览到很多公司的“内部”代码。

为什么说是内部代码,不是开源代码,张某表示,这些代码内容包括项目的数据库、账号、密码等,“任凭谁,只要按照里面记录的账号密码登录,就能访问”。

危害性又有多大呢?据其介绍,像是此次遭到泄露的中国移动旗下的咪咕音乐,就被泄露了后端代码及配置数据,黑客可以根据代码逻辑和支付密钥,伪造支付成功请求。

运营商财经网发现,在这40余家企业中包含很多教育、房产企业,甚至包括万科集团,这其中有超过几十万人名、身份证号、手机号码等个人隐私遭到泄露。

阿里云未告知受害方公司代码泄露

事实上,阿里云这么大的体量出现这样的问题且长达半年时间没有发现已经是匪夷所思的事情,不过,有资料显示,在爆料人与阿里云平台沟通过某公司代码泄露后,几天后该企业依旧处于“裸奔”状态,这意味着阿里云并没有通知到代码泄露的企业。

有媒体向阿里云咨询时,阿里云回复称,我们收到开发者用户反馈,认为阿里云代码托管平台code.aliyun.com访问权限设置中的“Internal”选项存在理解歧义。

该平台旨在为开发者提供代码托管与交流服务。我们提供了Private(私有)、Internal(站内登录可见)、Public(完全公开)三个访问权限选项。默认代码访问权限为Private(私有),用户可以手动更改为其他选项。

大规模宕机导致华北多家公司网站瘫痪

不仅如此,2019年3月2日凌晨,阿里云被曝出现大规模宕机故障,华北地区多家互联网公司APP和网站陷入卡顿。

有网友表示,疑似阿里云华北2部分机器故障,怀疑是磁盘问题,部分硬盘无法访问,凡是会读写故障盘的系统软件或服务程序,都会收到影响。

针对此事,对此阿里云官方回应称,华北2地域可用区C部分ECS服务器等实例出现IO HANG,经紧急排查处理后逐步恢复,对本次故障,阿里云将根据SLA协议,尽快处理赔偿事宜。

或许是上次泄露事件刚发生不久,此次阿里云并没有像之前一样推卸责任,赔偿态度还是不错,但问题事故不断,也确实影响了用户信心。

2018年11月26日,阿里巴巴集团CEO张勇宣布阿里云的组织架构和管理层调整,阿里云事业群升级为阿里云智能事业群。集团首席技术官(CTO)张建锋(行癫)将兼任阿里云智能事业群总裁,向张勇汇报。原阿里云总裁胡晓明调蚂蚁金服。此次高管变动发生在阿里云源代码泄露事故之前,应该与此事无关。但张剑锋上任几个月就看到这种事情,能舒服吗?