阿里云代码托管平台貌似翻车了……万科、咪咕音乐、51信用卡的项目代码都被泄露了

greenghost 发布于 02/22 12:13
阅读 2K+
收藏 1

据说是阿里云代码托管平台的项目权限设置有歧义,导致开发者操作失误,造成至少40家以上企业的200多个项目代码泄露,其中包括万科集团、咪咕音乐、51信用卡旗下51足迹、百度无人车合作伙伴ecarx这些知名企业。

关键是,问题至今未完全解决。

起因是一位开发者注册了一个阿里云平台账号后,然后发现在阿里云效平台上,只要登上账号,就能浏览到很多公司的“内部”代码。最初这位开发者以为这些代码是开源的,但很快他发现了“不对劲”的地方,因为这些代码很多都是不该出现在开源项目中的。比如,项目的数据库、账号、密码等。然后他尝试登录了这些账号和密码,发现竟然真的能访问一些公司生产环境的具体数据。

研究之后,这位开发者猜测可能是因为这些公司的程序员在给项目建库时操作不当,将项目权限设置成“平台公开”。因为当时的阿里云代码托管业务还是全英文平台,可能很多企业在创建项目的时候会误选择“internal”,也就是“平台公开”。

这位开发者列举了阿里云平台上出现代码泄露的企业案例。比如中国移动旗下的咪咕音乐,泄漏后端代码及配置数据,包括访问高清曲库接口的密钥,访问中央音乐平台总线接口的密钥,支付密钥等。黑客可以根据代码逻辑和支付密钥,伪造支付成功请求

最后,这名开发者还说到,阿里云被动发现问题后,没有重视问题,也没有提出解决措施。而之所以选择公开此事,只是想要引起企业对代码安全的关注,同时希望阿里云改善服务流程。

内容太多了 这里完整的 https://mp.weixin.qq.com/s/NoPXitWuuyuzD0CnBjVr3w

加载中
1
liuleidefeng
liuleidefeng

这只能怪使用者自己设置权限的时候没搞明白

0
巴拉迪维
巴拉迪维

看着有点吓人啊。。。就这么泄漏出去了?

0
applepaihs
applepaihs

看来还是公司搭建自己的git私有仓库靠谱点

0
吓跑小蚂蚁

阿里处理问题的速度有问题啊

0
qwq小冰
qwq小冰

把代码打印出来锁在保险箱里最安全了

这样泄露出去还真跟阿里云没毛线关系,即使不懂internal什么意思,至少知道private是什么,不搞清楚就乱设置,还一次这么多家公司,这是同一个运维搞得么

达不溜H
达不溜H
我就喜欢你这样讲话的同学,嘿!
0
z
zb1480811420598

这也要阿里背锅,你去git建个公司代码的仓库选公开,git是不是也背锅-------来自某水军直言评论

0
自由PHP
自由PHP

阿里程序员年前不是自以为是的在前端框架埋了一个彩蛋么

0
自由PHP
自由PHP

我觉得怎么写选项注释,最好咨询一下运营或者产品

返回顶部
顶部