首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
V2EX  ›  问与答

阿里云出事了 真的假的

  •  
  •   pangtianyu · 264 天前 · 10341 次点击
    这是一个创建于 264 天前的主题,其中的信息可能已经有所发展或是发生改变。
    79 回复  |  直到 2019-02-23 15:16:32 +08:00
        1
    holajamc   264 天前   ♥ 5
    想到了自己去年仿照 GitMiner 的代码写了一个脚本抓到了 GitHub 上面暴露的国内公司的服务器信息。然后傻傻的和他们打电话告知这件事情。

    『你是谁,你怎么知道的,你有没有对我们服务器做修改』

    这么一套素质三连也让我感到疲惫,看到帖子里面『 The-friend-of-Tom 』和『永远掌握真理』的回复,我确实也有想过放弃这种行为。我不代表任何公司仅代表我个人,我没有任何授权,随时可能会分套房子。
        2
    murmur   264 天前
    由于阿里云代码托管平台的项目权限设置存在歧义,导致开发者操作失误
    所以 gitee 这种推出了企业仓库,企业仓库最低级别也是企业内部开放
        3
    beingbin   264 天前   ♥ 23
    你这么说,小心阿里告你索赔两千万,本站有前车之鉴。
        4
    hilbertz   264 天前
    这种水平也是醉了
        5
    ivmm   264 天前
    主要是使用者分不清状况吧。 当然平台也没有合理引导,阿里云的代码托管平台不适合不了解机制的新手使用。

    其实还可以,

    震惊!国外某网站竟然有小米手机核心内核代码,涉及多个系列
    震惊!微软、谷歌等知名公司源代码漏出,快来下载
        6
    find456789   264 天前
    就是这个原因,我在几个月前 才把代码都切到 bitbucket 的
        7
    hahastudio   264 天前
        8
    Greendays   264 天前
    这不都是旧闻了嘛。我觉得这种程度的个人信息泄露,应该立法对公司进行处罚才对。不然他们永远都不会重视。
        9
    LeeAaron   264 天前
    不是蒸的,是煮的
        10
    ljspython   264 天前
    标题党?
        11
    jadec0der   264 天前 via iPhone   ♥ 3
    正常,这哥们敢管也是心大,其中一个企业脑残就进去了。见义勇为 14 天,网络也不是法外之地。

    话说去年我给官方乌云(大约是叫互联网应急响应中心)报了个漏洞,等了两天回复我报告格式不规范,QTMD
        12
    noaccounthere   264 天前
    .... 我服了, 楼主看个标题就来发帖了吗?
        13
    sigup   264 天前   ♥ 2
    这哥们真是闲的蛋疼了,上一个给世纪佳缘报漏洞的小伙子,还在监狱吃免费饭呢.
        14
    vcinex   264 天前 via Android   ♥ 1
        15
    Drumming   264 天前
    @jadec0der 乌云关站两年多了...
        16
    o0   264 天前 via iPhone
    没有几千万,不评论。😅
        17
    illl   264 天前 via iPhone
    直接提交给阿里不是会有奖励的吗?
        18
    jadec0der   264 天前
    @Drumming 「官方」乌云……我查了一下大名叫国家信息安全漏洞共享平台,实在记不住
        19
    jyjsjd   264 天前
    最赞评论是骂张先生“多管闲事” 🙂️
        20
    worldGM   264 天前 via Android
    @illl 就怕奖励牢饭😂
        21
    icylogic   264 天前 via iPhone
    > 张中南表示:“想想还蛮开心的,今天保护了几十万个小孩子的隐私。”

    这么做的确是有风险,吃力不讨好,但我是不想出言讽刺人家闲或者不懂法,有时候真是很单纯……
        22
    orangeade   264 天前
    阿里云安全意识还不如个人开发者
        23
    kernel   264 天前
    可以被所有外部人员访问的设置起名叫“ inernal"? 这特么是我也会搞错。
        24
    yzkcy   264 天前
    太标题党了吧?就像有很多傻屌把公司代码和数据库配置上传到 gayhub 上,所以 gayhub 有错?

    "震惊!某境外网站竟然出现源代码泄露,涉及谷歌微软 BAT 等上万家企业百万项目。"
        25
    hugedeffing   264 天前
    标题党--明显是公司配置,阿里云错在没有做好安全引导。

    产品没有任何安全漏洞,错就错在没有正确安全引导而已。
        26
    orangeade   264 天前 via Android   ♥ 1
    @kernel 就是拿 gitlab 改的,连设置都没动,企业自建 gitlab 有 internal 这种权限没问题,阿里云这么用就脑残了
        27
    l00t   264 天前
    把能公开访问的取名叫 internal 当然有错啊。
        28
    xgfan   264 天前
    @kernel 那说明你英文太差。
    @orangeade gitlab.com 也是这样,为什么阿里云就脑残了。
        29
    DT27   264 天前
    @yzkcy
    @hugedeffing
    阿里云错在被告知有泄露风险却不去提醒对应用户。
        30
    yzkcy   264 天前
    @DT27 要按你这么说,那 github 都要哭了。
        31
    kernel   264 天前   ♥ 1
    @xgfan 麻烦你查查什么是 Internal? 意思是实例内部才能访问。如果你是安装了一个私有 git(如 gitlab),Internal 指的是这个安装实例的用户才能访问。阿里云把它当作所有平台用户了,跨所有注册企业了。这很明显是阿里云误用了。
        32
    dbw9580   264 天前 via Android   ♥ 4
    评论里说多管闲事的都是黑产的吧,人家说不定早就发现了这么一块大蛋糕,已经倒腾了好久了。网警出来干活了,查查后台实名,十拿九稳。
        33
    9hills   264 天前 via iPhone
    @yzkcy github 只有 public 和 private 两个
        34
    zhttty   264 天前 via Android
    明显是阿里云错,这在国外泄露这么多东西,估计要破产。
        35
    reus   264 天前   ♥ 1
    @xgfan 因为 gitlab 本来就是给单一公司部署的,阿里云给多个公司用的,居然直接就拿来用。
        36
    zzNucker   264 天前
    @kernel 不是阿里云把它当做所有平台用户了,是所有阿里云使用这个业务的用户用的是同一个 gitlab 实例。而这个 internal 的权限在 gitlab 里本身意思就是同一个 Gitlab 实例的所有用户能访问。不存在误用,应该说没提示好,可能让有些用户误认为自己企业上传的 project 在私有实例里。
        37
    zzNucker   264 天前
    V 站估计没几个用过 gitlab 的
        38
    kernel   264 天前
    @zzNucker 好傻,了解一下什么是多租户吧。另外可以被所有阿里云用户访问的权限和根本没有权限有任何区别吗?是个人都可以注册个阿里云,搞这种权限有个鸟用?
        39
    Dram001   264 天前 via Android
    @holajamc 想想乌云网,这么干没点好处还惹一身骚,还不如扒走拿去卖呢。
        40
    holajamc   264 天前
    @Dram001 『随时可能会分套房子』
        41
    drackzy   264 天前
    阿里 gitlab 换换皮肤。
        42
    easylee   264 天前
    @kernel #38 没必要别解释了,浪费自己时间,那几位回复你的估计都没仔细看文章来龙去脉,以及两平台的“ inernal ”的区别。
        43
    tabris17   264 天前
    这的确不关阿里云的事啊,关于 internal 的解释已经很明确了,而且默认都是 private 的
        44
    zzNucker   264 天前
    @kernel 是没用啊,阿里云就把 gitlab 搬过来用也没给用户提示,确实是这个有问题。这和多租户有个鸟关系,gitlab 又不是他们建的。
        45
    zzNucker   264 天前   ♥ 1
    @easylee 五天被拒 17 家的你懂,我怕了你了行不。
        46
    tabris17   264 天前
    另外数据库的账号和密钥之类的敏感数据不是应该通过 export 导入环境变量么,至少配置和代码应该分 repo 保存啊,难道他们生产环境和开发环境用相同的密码?
        47
    bin456789   264 天前
    那 github 岂不是天天出事?
        48
    tabris17   264 天前
    很明确地写着:『项目可以被所有已登录用户克隆。』

    这句话意义非常明确了。现在还特地加了一句:『注意:设置该权限的项目内代码对所有登录本站( https://code.aliyun.com )的用户可见,请谨慎设置。』

    大概是给眼神不好的人准备的吧
        49
    hahastudio   264 天前
    话说阿里云不登录可以用么?因为 https://code.aliyun.com 打开就会跳转登录,感觉就没有 Public
    但是直接打开 https://code.aliyun.com/explore 又能看到项目,但点开项目又会跳转登录
    那么到底阿里云有没有真正的 Public ?
        50
    hahastudio   264 天前
    @tabris17 那段话是新加的,你可以看 /t/537559/t/518183 就会发现之前没有特地加的一句
        51
    chairuosen   264 天前
    internal 没有错,阿里云用 gitlab 的方式错了
        52
    oIMOo   264 天前
    和阿里云好像没什么关系啊……
    出门之后,故意让大门开着,被盗了和防盗门没关系啊……
        53
    19zero   264 天前
    标题党➕1,文章里的张中南非蠢即坏,就像楼上说的,自己开设了一个大门让其他人进,还要怪这个门没提示?况且人家早就有中文提示了
        54
    tabris17   264 天前
    @hahastudio 是呀,我是说『现在还特地加了一句』。之前只有上半句。但是意思已经足够明确了
        55
    Mac   264 天前 via Android
    我就一个纯 html 企业官网,爱偷不偷
        56
    yzkcy   264 天前
    @9hills "阿里云出现源代码泄露 涉及万科等 40 家企业 200 余项目",这个标题你第一反应是什么?
    我的意思是用户自己不细心,配置错误,导致源码泄漏。标题党写平台导致源代码泄漏的没意思。这里 github 只是举例,"震惊!某境外网站竟然出现源代码泄露,涉及谷歌微软 BAT 等上万家企业百万项目。"
        57
    hahastudio   264 天前
    @tabris17 没有真的用过阿里云,我在想是不是因为打开项目总是需要登录,所以使得用户直觉上认为 Public 需要登录,也就是本该是 Internal 的行为,然后使得用户认为 Internal 是控制在企业内部访问的
    因为我觉得,既然有这么多用户都理解错了,那就不该是用户的问题,肯定是某些地方使得用户产生了误解,尤其是对没用过 GitLab 的用户来说
        58
    tabris17   264 天前
    @hahastudio 先不说『所有已登录用户』这个定义已经非常明确没有歧义了,如果拍脑袋想当然觉得 internal 是『企业』内部访问,但是这个『企业』的概念是哪里冒出来的?你在后台的哪里看到能创建和管理『企业』了?

    如果是小白用户犯这种低级错误还情有可原,自己就是个写代码的码农,这点逻辑演绎能力都没有还怎么写代码
        59
    hahastudio   264 天前
    @tabris17 那我估计,他们的想法是,因为有 Group 的存在,这是在 Project 的上一层权限管理,所以既然 Private 对应的是 Project 内的,那 Internal 就对应 Group 内的
        60
    akira   264 天前
    仓库权限的事情 之前已经有人提过了吧
        61
    hoyixi   264 天前
    多大个事儿,把发现(提出)这个安全问题的人消灭就行了:)
        62
    gy911201   264 天前
    @kernel gitlab 的云服务也是这种逻辑啊…… gitlab 并不是只能自己部署的……
        63
    gy911201   264 天前
    https://gitlab.com/xiaolanglang/testinternal
    这个库就是 internal 权限的

        64
    9hills   264 天前 via iPhone
    @tabris17 那句是后加的…
        65
    kaneg   264 天前 via iPhone
    很可能这些公司的员工压根就不知道他们居然与其他公司的员工在同一个体系(即所谓的 internal )内裸奔
        66
    LanFomalhaut   264 天前
    一天天的非要搞大事..2KW 准备好了么
        67
    easylee   263 天前
    @zzNucker #45 感谢前辈教训,工作学习上我定会好好努力的,避免这种事情再次出现。
        68
    ffeii   263 天前
    之前还在想怎么阿里云上这么多开源项目。。
        69
    shanigan   263 天前
    @gy911201 个人账户和企业账户 internal 定义因该是不同的,起码对正常人来说。

    这么多公司在 repo 里存储生产环境密钥.... 太可怕了....
        70
    ilgharkus   263 天前
    @dbw9580 不一定,那个“永远掌握真理”看看他的微博就知道他是个一事无成天天上网嘴臭的网络喷子。
        71
    ilgharkus   263 天前
    @dbw9580 https://weibo.com/u/1482691313 这人喷的我都佛了 doge
        72
    gy911201   263 天前
    @shanigan gitlab 个人用户和企业用户的行为都是一致的,其实本来密钥就不应该进代码库,这玩意儿应该是用环境变量或者其他手段注入程序的才对……………………
        73
    blless   263 天前 via Android
    gitlab 锅大一点,而且其实说明写的蛮清楚的
        74
    missdeer   263 天前
    有阿里索赔 1000 万的前车之鉴在,换我绝对不敢说出去
        75
    firemiles   263 天前
    在公司内部的代码库 internal 就是企业内部公开啊,哪想到阿里改都不改 gitlab 逻辑,直接把私有云的逻辑套到公有云,变成大家都是内部用户,那 public 还有什么用
        76
    acupnocup   263 天前 via iPad
    你有 1000 万吗
        77
    uleh   263 天前
    客观公平的说,阿里的锅不算大,顶多是选项名称不太清楚,导致了部分(不专业)用户的误用。
    打个比方来说,有公司使用 github 管理代码,结果建了个 public repo。你能说这是 github 的漏洞吗? github 需要在你建站的时候再给你弹个大窗完了再给你打个电话说哥们,你代码全网可见的哦,你确定要 public ?
    然后你发现了 x 公司有这个问题,你(而非 x 公司的帐号管理员)去联系 github,github 会帮你去通知?
        78
    imaple   263 天前
    有什么好玩的项目可以看么
        79
    woodface2233   263 天前 via iPhone
    @beingbin 谁被索赔了
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   2802 人在线   最高记录 5043   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 36ms · UTC 11:57 · PVG 19:57 · LAX 03:57 · JFK 06:57
    ♥ Do have faith in what you're doing.