V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
xiaohupro
V2EX  ›  程序员

大家一起来探讨一下阿里网盘这次的 Bug 是什么导致的

  •  
  •   xiaohupro ·
    hubianluanma · 53 天前 · 11237 次点击
    这是一个创建于 53 天前的主题,其中的信息可能已经有所发展或是发生改变。

    这几天阿里网盘泄露用户隐私的重大 bug 大家应该都知道了,但是我很难理解这种 bug 是什么导致的?按道理登录已经鉴权了,自己存的东西理论上肯定是有和用户唯一标识对应的关系呀,怎么会存在能看到其他用户内容的情况,大家一起来分析分析。

    49 条回复    2024-09-26 14:20:32 +08:00
    qianji201712
        1
    qianji201712  
       53 天前   ❤️ 16
    这还要讨论?不就是菜,草台班子
    wunonglin
        2
    wunonglin  
       53 天前 via iPhone   ❤️ 9
    有啥好讨论的,where 写错了呗
    realpg
        3
    realpg  
       53 天前
    某个接口鉴权错了 小 bug 影响大而已
    HenrikC
        4
    HenrikC  
       53 天前   ❤️ 2
    这么敏感的事,轻描淡写的的就过去了,没有隐私可言。。。。
    gxt92
        5
    gxt92  
       53 天前
    鉴权没做好
    lifei6671
        6
    lifei6671  
       53 天前   ❤️ 3
    拉相册图片的时候 where 语句没加 uid 。
    Configuration
        7
    Configuration  
       53 天前
    @HenrikC 轻描淡写?阿里有官方回复吗?
    onlyshit
        8
    onlyshit  
       53 天前   ❤️ 1
    hash 碰撞了吧
    1145148964
        9
    1145148964  
       53 天前
    想少了。有可能是专门留出来看别人照片用的。
    和之前 openssh 那次漏洞有的比
    LuffyPro
        10
    LuffyPro  
       53 天前
    不大相信,大厂会出现这种低级错误(当然,也有可能是我视野不够,触及不到这种 bug 出现的其他场景);不过就看到几个截图,不知道是否必现,如果是必现问题,这锅放到产研线,谁的锅更大点?程序员?测试?
    allanzhuo
        11
    allanzhuo  
       53 天前 via Android   ❤️ 11
    世界都是个草台班子,以前我觉得大厂写代码都很牛逼,进来后发现菜鸡一堆
    povsister
        12
    povsister  
       53 天前   ❤️ 14
    @HenrikC
    说句可能不那么 zzzq 的话,真在乎隐私就别上云,自己的数据只掌握在自己手里。
    国内没有端到端加密的网盘,那么被大厂研发看到和被所有人看到区别大吗?我觉得压根无所谓,这种定性的事情不需要在乎 1 还是 N ,有就是有,没有就是没有。
    HenrikC
        13
    HenrikC  
       53 天前
    @Configuration
    阿里云盘相关工作人员回应:“14 日晚上,技术人员已经第一时间修复了 BUG ,相关功能可以正常使用,用户影响面较小。”
    HenrikC
        14
    HenrikC  
       53 天前
    @povsister 你说的没错,是这样。
    totoro625
        15
    totoro625  
       53 天前
    @LuffyPro #10 “不过就看到几个截图,不知道是否必现”
    这句话太强了,可以引申到,不过就看到几段视频,也不是每个人都能遇到的事情,不能以偏概全
    再过一段时间,视频全部投诉下架,直接当做无事发生
    hiboshi
        16
    hiboshi  
       53 天前
    听说是因为相册有个相册 ID ,但是新加坡着火了导致数据迁移回国内,新加坡的数据和国内数据发生冲突了,解决的办法应该是用户 id+相册 ID
    Steve0723
        17
    Steve0723  
       53 天前 via Android
    就是权限管理没做好
    wssy001
        18
    wssy001  
       53 天前   ❤️ 1
    有啥好讨论的,不就是代码提交前的自测,关键的数据权限代码被打上了注释,发版时没注意取消注释给提交上去了
    arongpm
        19
    arongpm  
       53 天前
    看了买 NAS 是对的,之前还抱怨花那么多钱买的 nas 不值,现在看来真香,记住一点,nas 激活选择地区要选世界,不要选大陆。
    abccccabc
        20
    abccccabc  
       53 天前
    有没有一种可能是因为裁人导致的 bug (^_^)
    jinliming2
        21
    jinliming2  
       53 天前 via iPhone
    @hiboshi #16 貌似说不太通。目前看到的复现案例,有多个数据一样的,甚至顺序都一样。
    如果是国内 ID 和新加坡 ID 冲突,导致新建的国内相册 ID 碰撞到了新加坡相同 ID 的数据。那就解释不通多个人能碰撞到完全相同的相册了,国内新建相册 ID 不至于都重复吧?
    l2d
        22
    l2d  
       53 天前   ❤️ 13
    一般的水平越权都是接口级别。比如一个 get 查询接口存在 id 入参,你替换 id 抓包能看到别人的内容。因为后端接口没做鉴权,这是比较常见的问题。
    但是上述情况你得抓包才能看见问题,所以非技术人员不知道,舆论影响没那么大。
    阿里云盘这个,主要功能越权的同时展现在前端,放在整个互联网行业都是相当低级的错误。除了研发的疏忽,安全工程师没发现这个问题,也得背大锅。
    securityCoding
        23
    securityCoding  
       53 天前 via Android
    应该 mybatis where 条件匹配拉空了导致越权吧
    nyxsonsleep
        24
    nyxsonsleep  
       53 天前
    @arongpm #18 群晖吗?
    GeekGao
        25
    GeekGao  
       53 天前
    鉴权参数不健全。怎么三元组(sessionId, userId, AlbumId) 匹配一下吧。毕竟 Album 也会被 shared ,上级部门要追分享过程的路径,也好举证嘛。 这么看来,阿里网盘是通过 Log 埋点串起用户行为的。
    GeekGao
        26
    GeekGao  
       53 天前
    所以,大概率是架构设计存在一些安全缺陷。
    dream7758522
        27
    dream7758522  
       53 天前   ❤️ 2
    本质上,阿里云盘介绍页面上说的加密存储是骗人的。既然是加密存储,就算是别人的网盘资料泄露,看到的应该是一堆损坏了的乱码图片。细思极恐
    catazshadow
        28
    catazshadow  
       53 天前
    阿里根本不是个科技公司,其实就是个所有中层都之对上负责的税收机构、放贷机构
    so2back
        29
    so2back  
       52 天前
    这个确实离谱,那天晚上我 7 点看到群里有人发聊天记录后试了下能复现,那个聊天记录还是 6 点开头的,整整一个钟都没修复好
    logic2
        30
    logic2  
       52 天前
    @allanzhuo 😂太正常了,越大公司,能形成合力输出 不到 30%,其余 10%在各种低效的会议,60%在搞宫斗
    arongpm
        31
    arongpm  
       52 天前
    @nyxsonsleep 不是,我买的是 qnap
    edcopclub
        32
    edcopclub  
       52 天前 via Android
    内部权限配给普通用户
    zliea
        33
    zliea  
       52 天前
    @dream7758522 这个加密指的是落盘加密,哈哈哈
    EndlessMemory
        34
    EndlessMemory  
       52 天前
    没做鉴权
    nyxsonsleep
        35
    nyxsonsleep  
       52 天前
    @l2d #21 其实以前百度网盘也出过,我还自己测试过看看别人存了什么。
    JoeDH
        36
    JoeDH  
       52 天前
    假期泡汤+325
    realJamespond
        37
    realJamespond  
       52 天前
    接口仔的问题呗,又不代表阿里云核心技术实力
    weixind
        38
    weixind  
       52 天前
    @JoeDH 要看是不是嫡系,嫡系可能就轻拿轻放,非嫡系大概率有不少人要卷铺盖
    jixiangqd
        39
    jixiangqd  
       52 天前
    去企查查,阿里云盘的归属是个第三方公司,也就是说这个产品是外包的,所以各种操作才那么骚。出这种 bug 也见怪不怪了
    angeni
        40
    angeni  
       52 天前
    kaf
        41
    kaf  
       52 天前
    盲猜 cdn 配置针对 url 缓存,没有处理鉴权内容导致读到了其他人的缓存
    iamwin
        42
    iamwin  
       52 天前
    说明加密存储就是扯淡的啊
    asuraa
        43
    asuraa  
       52 天前
    所以照片啊视频啊这些私密的数据,绝对不能存国内的网盘,包括单不限于百度云阿里云等等。
    OneDrive 或者 icloud 可以存,这些是服务端加密的。
    最好还是自己弄 nas 存自己家里
    Foxkeh
        44
    Foxkeh  
       52 天前
    平行越权, 安全测试不彻底
    llmice
        45
    llmice  
       52 天前
    请了一堆 fw,几万人应该有 99%都是死混子,人越多干的事情越乱,一个人能搞定了分配了 100 个人,然后 100 个人互相推责任.
    sincw
        46
    sincw  
       51 天前
    可能某个环节的 where 条件空了
    cocomanber
        47
    cocomanber  
       51 天前
    草台班子,都是一批白菜新人,年年招新年年堆屎山,能力好的自然牛逼
    @allanzhuo
    volvo007
        48
    volvo007  
       51 天前
    @allanzhuo 但我不理解的是菜鸡一堆都是怎么进去的啊 😅
    freeair
        49
    freeair  
       44 天前
    怀疑又是降本增笑,再好的规则,也要人来执行的,能出这么大的问题,说明很多品控环节都失效或者流于形式。
    另外,阿里云盘近期声誉本就下降得厉害,个人用户基本没人推荐了。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1934 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 16:21 · PVG 00:21 · LAX 08:21 · JFK 11:21
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.