V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
pangtianyu
V2EX  ›  问与答

阿里云出事了 真的假的

  •  
  •   pangtianyu · 2019-02-22 13:36:28 +08:00 · 12073 次点击
    这是一个创建于 2136 天前的主题,其中的信息可能已经有所发展或是发生改变。
    79 条回复    2019-02-23 15:16:32 +08:00
    holajamc
        1
    holajamc  
       2019-02-22 13:45:48 +08:00   ❤️ 5
    想到了自己去年仿照 GitMiner 的代码写了一个脚本抓到了 GitHub 上面暴露的国内公司的服务器信息。然后傻傻的和他们打电话告知这件事情。

    『你是谁,你怎么知道的,你有没有对我们服务器做修改』

    这么一套素质三连也让我感到疲惫,看到帖子里面『 The-friend-of-Tom 』和『永远掌握真理』的回复,我确实也有想过放弃这种行为。我不代表任何公司仅代表我个人,我没有任何授权,随时可能会分套房子。
    murmur
        2
    murmur  
       2019-02-22 13:49:58 +08:00
    由于阿里云代码托管平台的项目权限设置存在歧义,导致开发者操作失误
    所以 gitee 这种推出了企业仓库,企业仓库最低级别也是企业内部开放
    beingbin
        3
    beingbin  
       2019-02-22 13:50:47 +08:00   ❤️ 23
    你这么说,小心阿里告你索赔两千万,本站有前车之鉴。
    hilbertz
        4
    hilbertz  
       2019-02-22 14:01:36 +08:00
    这种水平也是醉了
    ivmm
        5
    ivmm  
       2019-02-22 14:01:36 +08:00
    主要是使用者分不清状况吧。 当然平台也没有合理引导,阿里云的代码托管平台不适合不了解机制的新手使用。

    其实还可以,

    震惊!国外某网站竟然有小米手机核心内核代码,涉及多个系列
    震惊!微软、谷歌等知名公司源代码漏出,快来下载
    find456789
        6
    find456789  
       2019-02-22 14:07:39 +08:00
    就是这个原因,我在几个月前 才把代码都切到 bitbucket 的
    hahastudio
        7
    hahastudio  
       2019-02-22 14:10:18 +08:00
    Greendays
        8
    Greendays  
       2019-02-22 14:11:12 +08:00
    这不都是旧闻了嘛。我觉得这种程度的个人信息泄露,应该立法对公司进行处罚才对。不然他们永远都不会重视。
    LeeAaron
        9
    LeeAaron  
       2019-02-22 14:12:03 +08:00
    不是蒸的,是煮的
    ljspython
        10
    ljspython  
       2019-02-22 14:14:55 +08:00
    标题党?
    jadec0der
        11
    jadec0der  
       2019-02-22 14:17:59 +08:00 via iPhone   ❤️ 3
    正常,这哥们敢管也是心大,其中一个企业脑残就进去了。见义勇为 14 天,网络也不是法外之地。

    话说去年我给官方乌云(大约是叫互联网应急响应中心)报了个漏洞,等了两天回复我报告格式不规范,QTMD
    noaccounthere
        12
    noaccounthere  
       2019-02-22 14:20:17 +08:00
    .... 我服了, 楼主看个标题就来发帖了吗?
    sigup
        13
    sigup  
       2019-02-22 14:25:45 +08:00   ❤️ 2
    这哥们真是闲的蛋疼了,上一个给世纪佳缘报漏洞的小伙子,还在监狱吃免费饭呢.
    Ultraman
        14
    Ultraman  
       2019-02-22 15:02:53 +08:00 via Android   ❤️ 1
    Drumming
        15
    Drumming  
       2019-02-22 15:05:37 +08:00
    @jadec0der 乌云关站两年多了...
    o0
        16
    o0  
       2019-02-22 15:08:48 +08:00 via iPhone
    没有几千万,不评论。😅
    illl
        17
    illl  
       2019-02-22 15:13:11 +08:00 via iPhone
    直接提交给阿里不是会有奖励的吗?
    jadec0der
        18
    jadec0der  
       2019-02-22 15:29:37 +08:00
    @Drumming 「官方」乌云……我查了一下大名叫国家信息安全漏洞共享平台,实在记不住
    jyjsjd
        19
    jyjsjd  
       2019-02-22 15:32:51 +08:00
    最赞评论是骂张先生“多管闲事” 🙂️
    worldGM
        20
    worldGM  
       2019-02-22 15:34:00 +08:00 via Android
    @illl 就怕奖励牢饭😂
    icylogic
        21
    icylogic  
       2019-02-22 15:40:53 +08:00 via iPhone
    > 张中南表示:“想想还蛮开心的,今天保护了几十万个小孩子的隐私。”

    这么做的确是有风险,吃力不讨好,但我是不想出言讽刺人家闲或者不懂法,有时候真是很单纯……
    orangeade
        22
    orangeade  
       2019-02-22 15:46:37 +08:00
    阿里云安全意识还不如个人开发者
    kernel
        23
    kernel  
       2019-02-22 15:51:30 +08:00
    可以被所有外部人员访问的设置起名叫“ inernal"? 这特么是我也会搞错。
    yzkcy
        24
    yzkcy  
       2019-02-22 15:52:22 +08:00
    太标题党了吧?就像有很多傻屌把公司代码和数据库配置上传到 gayhub 上,所以 gayhub 有错?

    "震惊!某境外网站竟然出现源代码泄露,涉及谷歌微软 BAT 等上万家企业百万项目。"
    hugedeffing
        25
    hugedeffing  
       2019-02-22 15:54:28 +08:00
    标题党--明显是公司配置,阿里云错在没有做好安全引导。

    产品没有任何安全漏洞,错就错在没有正确安全引导而已。
    orangeade
        26
    orangeade  
       2019-02-22 15:55:39 +08:00 via Android   ❤️ 1
    @kernel 就是拿 gitlab 改的,连设置都没动,企业自建 gitlab 有 internal 这种权限没问题,阿里云这么用就脑残了
    l00t
        27
    l00t  
       2019-02-22 16:04:30 +08:00
    把能公开访问的取名叫 internal 当然有错啊。
    6IbA2bj5ip3tK49j
        28
    6IbA2bj5ip3tK49j  
       2019-02-22 16:07:08 +08:00
    @kernel 那说明你英文太差。
    @orangeade gitlab.com 也是这样,为什么阿里云就脑残了。
    DT27
        29
    DT27  
       2019-02-22 16:14:21 +08:00
    @yzkcy
    @hugedeffing
    阿里云错在被告知有泄露风险却不去提醒对应用户。
    yzkcy
        30
    yzkcy  
       2019-02-22 16:29:43 +08:00
    @DT27 要按你这么说,那 github 都要哭了。
    kernel
        31
    kernel  
       2019-02-22 16:30:25 +08:00   ❤️ 1
    @xgfan 麻烦你查查什么是 Internal? 意思是实例内部才能访问。如果你是安装了一个私有 git(如 gitlab),Internal 指的是这个安装实例的用户才能访问。阿里云把它当作所有平台用户了,跨所有注册企业了。这很明显是阿里云误用了。
    dbw9580
        32
    dbw9580  
       2019-02-22 16:33:02 +08:00 via Android   ❤️ 4
    评论里说多管闲事的都是黑产的吧,人家说不定早就发现了这么一块大蛋糕,已经倒腾了好久了。网警出来干活了,查查后台实名,十拿九稳。
    9hills
        33
    9hills  
       2019-02-22 16:36:36 +08:00 via iPhone
    @yzkcy github 只有 public 和 private 两个
    zhttty
        34
    zhttty  
       2019-02-22 16:42:58 +08:00 via Android
    明显是阿里云错,这在国外泄露这么多东西,估计要破产。
    reus
        35
    reus  
       2019-02-22 16:50:05 +08:00   ❤️ 1
    @xgfan 因为 gitlab 本来就是给单一公司部署的,阿里云给多个公司用的,居然直接就拿来用。
    zzNucker
        36
    zzNucker  
       2019-02-22 16:51:57 +08:00
    @kernel 不是阿里云把它当做所有平台用户了,是所有阿里云使用这个业务的用户用的是同一个 gitlab 实例。而这个 internal 的权限在 gitlab 里本身意思就是同一个 Gitlab 实例的所有用户能访问。不存在误用,应该说没提示好,可能让有些用户误认为自己企业上传的 project 在私有实例里。
    zzNucker
        37
    zzNucker  
       2019-02-22 16:52:54 +08:00
    V 站估计没几个用过 gitlab 的
    kernel
        38
    kernel  
       2019-02-22 16:56:55 +08:00
    @zzNucker 好傻,了解一下什么是多租户吧。另外可以被所有阿里云用户访问的权限和根本没有权限有任何区别吗?是个人都可以注册个阿里云,搞这种权限有个鸟用?
    Dram001
        39
    Dram001  
       2019-02-22 16:57:54 +08:00 via Android
    @holajamc 想想乌云网,这么干没点好处还惹一身骚,还不如扒走拿去卖呢。
    holajamc
        40
    holajamc  
       2019-02-22 17:01:20 +08:00
    @Dram001 『随时可能会分套房子』
    drackzy
        41
    drackzy  
       2019-02-22 17:01:24 +08:00
    阿里 gitlab 换换皮肤。
    easylee
        42
    easylee  
       2019-02-22 17:02:11 +08:00
    @kernel #38 没必要别解释了,浪费自己时间,那几位回复你的估计都没仔细看文章来龙去脉,以及两平台的“ inernal ”的区别。
    tabris17
        43
    tabris17  
       2019-02-22 17:09:04 +08:00
    这的确不关阿里云的事啊,关于 internal 的解释已经很明确了,而且默认都是 private 的
    zzNucker
        44
    zzNucker  
       2019-02-22 17:10:38 +08:00
    @kernel 是没用啊,阿里云就把 gitlab 搬过来用也没给用户提示,确实是这个有问题。这和多租户有个鸟关系,gitlab 又不是他们建的。
    zzNucker
        45
    zzNucker  
       2019-02-22 17:11:13 +08:00   ❤️ 1
    @easylee 五天被拒 17 家的你懂,我怕了你了行不。
    tabris17
        46
    tabris17  
       2019-02-22 17:11:22 +08:00
    另外数据库的账号和密钥之类的敏感数据不是应该通过 export 导入环境变量么,至少配置和代码应该分 repo 保存啊,难道他们生产环境和开发环境用相同的密码?
    bin456789
        47
    bin456789  
       2019-02-22 17:14:58 +08:00
    那 github 岂不是天天出事?
    tabris17
        48
    tabris17  
       2019-02-22 17:18:04 +08:00
    很明确地写着:『项目可以被所有已登录用户克隆。』

    这句话意义非常明确了。现在还特地加了一句:『注意:设置该权限的项目内代码对所有登录本站( https://code.aliyun.com )的用户可见,请谨慎设置。』

    大概是给眼神不好的人准备的吧
    hahastudio
        49
    hahastudio  
       2019-02-22 17:19:43 +08:00
    话说阿里云不登录可以用么?因为 https://code.aliyun.com 打开就会跳转登录,感觉就没有 Public
    但是直接打开 https://code.aliyun.com/explore 又能看到项目,但点开项目又会跳转登录
    那么到底阿里云有没有真正的 Public ?
    hahastudio
        50
    hahastudio  
       2019-02-22 17:21:07 +08:00
    @tabris17 那段话是新加的,你可以看 /t/537559/t/518183 就会发现之前没有特地加的一句
    chairuosen
        51
    chairuosen  
       2019-02-22 17:22:52 +08:00
    internal 没有错,阿里云用 gitlab 的方式错了
    oIMOo
        52
    oIMOo  
       2019-02-22 17:26:14 +08:00
    和阿里云好像没什么关系啊……
    出门之后,故意让大门开着,被盗了和防盗门没关系啊……
    19zero
        53
    19zero  
       2019-02-22 17:30:29 +08:00
    标题党➕1,文章里的张中南非蠢即坏,就像楼上说的,自己开设了一个大门让其他人进,还要怪这个门没提示?况且人家早就有中文提示了
    tabris17
        54
    tabris17  
       2019-02-22 17:36:02 +08:00
    @hahastudio 是呀,我是说『现在还特地加了一句』。之前只有上半句。但是意思已经足够明确了
    Mac
        55
    Mac  
       2019-02-22 17:37:25 +08:00 via Android
    我就一个纯 html 企业官网,爱偷不偷
    yzkcy
        56
    yzkcy  
       2019-02-22 17:40:58 +08:00
    @9hills "阿里云出现源代码泄露 涉及万科等 40 家企业 200 余项目",这个标题你第一反应是什么?
    我的意思是用户自己不细心,配置错误,导致源码泄漏。标题党写平台导致源代码泄漏的没意思。这里 github 只是举例,"震惊!某境外网站竟然出现源代码泄露,涉及谷歌微软 BAT 等上万家企业百万项目。"
    hahastudio
        57
    hahastudio  
       2019-02-22 17:42:07 +08:00
    @tabris17 没有真的用过阿里云,我在想是不是因为打开项目总是需要登录,所以使得用户直觉上认为 Public 需要登录,也就是本该是 Internal 的行为,然后使得用户认为 Internal 是控制在企业内部访问的
    因为我觉得,既然有这么多用户都理解错了,那就不该是用户的问题,肯定是某些地方使得用户产生了误解,尤其是对没用过 GitLab 的用户来说
    tabris17
        58
    tabris17  
       2019-02-22 17:52:51 +08:00
    @hahastudio 先不说『所有已登录用户』这个定义已经非常明确没有歧义了,如果拍脑袋想当然觉得 internal 是『企业』内部访问,但是这个『企业』的概念是哪里冒出来的?你在后台的哪里看到能创建和管理『企业』了?

    如果是小白用户犯这种低级错误还情有可原,自己就是个写代码的码农,这点逻辑演绎能力都没有还怎么写代码
    hahastudio
        59
    hahastudio  
       2019-02-22 18:02:48 +08:00
    @tabris17 那我估计,他们的想法是,因为有 Group 的存在,这是在 Project 的上一层权限管理,所以既然 Private 对应的是 Project 内的,那 Internal 就对应 Group 内的
    akira
        60
    akira  
       2019-02-22 18:34:32 +08:00
    仓库权限的事情 之前已经有人提过了吧
    hoyixi
        61
    hoyixi  
       2019-02-22 18:57:47 +08:00
    多大个事儿,把发现(提出)这个安全问题的人消灭就行了:)
    gy911201
        62
    gy911201  
       2019-02-22 18:58:04 +08:00
    @kernel gitlab 的云服务也是这种逻辑啊…… gitlab 并不是只能自己部署的……
    gy911201
        63
    gy911201  
       2019-02-22 19:08:03 +08:00
    https://gitlab.com/xiaolanglang/testinternal
    这个库就是 internal 权限的

    9hills
        64
    9hills  
       2019-02-22 19:39:17 +08:00 via iPhone
    @tabris17 那句是后加的…
    kaneg
        65
    kaneg  
       2019-02-22 19:52:20 +08:00 via iPhone
    很可能这些公司的员工压根就不知道他们居然与其他公司的员工在同一个体系(即所谓的 internal )内裸奔
    LanFomalhaut
        66
    LanFomalhaut  
       2019-02-22 19:55:15 +08:00
    一天天的非要搞大事..2KW 准备好了么
    easylee
        67
    easylee  
       2019-02-22 19:58:39 +08:00
    @zzNucker #45 感谢前辈教训,工作学习上我定会好好努力的,避免这种事情再次出现。
    ffeii
        68
    ffeii  
       2019-02-22 19:58:51 +08:00
    之前还在想怎么阿里云上这么多开源项目。。
    shanigan
        69
    shanigan  
       2019-02-22 21:23:03 +08:00
    @gy911201 个人账户和企业账户 internal 定义因该是不同的,起码对正常人来说。

    这么多公司在 repo 里存储生产环境密钥.... 太可怕了....
    ilgharkus
        70
    ilgharkus  
       2019-02-22 23:06:11 +08:00
    @dbw9580 不一定,那个“永远掌握真理”看看他的微博就知道他是个一事无成天天上网嘴臭的网络喷子。
    ilgharkus
        71
    ilgharkus  
       2019-02-22 23:08:11 +08:00
    @dbw9580 https://weibo.com/u/1482691313 这人喷的我都佛了 doge
    gy911201
        72
    gy911201  
       2019-02-23 00:00:43 +08:00
    @shanigan gitlab 个人用户和企业用户的行为都是一致的,其实本来密钥就不应该进代码库,这玩意儿应该是用环境变量或者其他手段注入程序的才对……………………
    blless
        73
    blless  
       2019-02-23 00:06:09 +08:00 via Android
    gitlab 锅大一点,而且其实说明写的蛮清楚的
    missdeer
        74
    missdeer  
       2019-02-23 09:02:00 +08:00
    有阿里索赔 1000 万的前车之鉴在,换我绝对不敢说出去
    firemiles
        75
    firemiles  
       2019-02-23 09:27:47 +08:00
    在公司内部的代码库 internal 就是企业内部公开啊,哪想到阿里改都不改 gitlab 逻辑,直接把私有云的逻辑套到公有云,变成大家都是内部用户,那 public 还有什么用
    acupnocup
        76
    acupnocup  
       2019-02-23 10:41:23 +08:00 via iPad
    你有 1000 万吗
    uleh
        77
    uleh  
       2019-02-23 11:11:07 +08:00
    客观公平的说,阿里的锅不算大,顶多是选项名称不太清楚,导致了部分(不专业)用户的误用。
    打个比方来说,有公司使用 github 管理代码,结果建了个 public repo。你能说这是 github 的漏洞吗? github 需要在你建站的时候再给你弹个大窗完了再给你打个电话说哥们,你代码全网可见的哦,你确定要 public ?
    然后你发现了 x 公司有这个问题,你(而非 x 公司的帐号管理员)去联系 github,github 会帮你去通知?
    imaple
        78
    imaple  
       2019-02-23 11:21:02 +08:00
    有什么好玩的项目可以看么
    woodface2233
        79
    woodface2233  
       2019-02-23 15:16:32 +08:00 via iPhone
    @beingbin 谁被索赔了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1018 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 19:41 · PVG 03:41 · LAX 11:41 · JFK 14:41
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.