1
holajamc 2019-02-22 13:45:48 +08:00 5
想到了自己去年仿照 GitMiner 的代码写了一个脚本抓到了 GitHub 上面暴露的国内公司的服务器信息。然后傻傻的和他们打电话告知这件事情。
『你是谁,你怎么知道的,你有没有对我们服务器做修改』 这么一套素质三连也让我感到疲惫,看到帖子里面『 The-friend-of-Tom 』和『永远掌握真理』的回复,我确实也有想过放弃这种行为。我不代表任何公司仅代表我个人,我没有任何授权,随时可能会分套房子。 |
2
murmur 2019-02-22 13:49:58 +08:00
由于阿里云代码托管平台的项目权限设置存在歧义,导致开发者操作失误
所以 gitee 这种推出了企业仓库,企业仓库最低级别也是企业内部开放 |
3
beingbin 2019-02-22 13:50:47 +08:00 23
你这么说,小心阿里告你索赔两千万,本站有前车之鉴。
|
4
hilbertz 2019-02-22 14:01:36 +08:00
这种水平也是醉了
|
5
ivmm 2019-02-22 14:01:36 +08:00
主要是使用者分不清状况吧。 当然平台也没有合理引导,阿里云的代码托管平台不适合不了解机制的新手使用。
其实还可以, 震惊!国外某网站竟然有小米手机核心内核代码,涉及多个系列 震惊!微软、谷歌等知名公司源代码漏出,快来下载 |
6
find456789 2019-02-22 14:07:39 +08:00
就是这个原因,我在几个月前 才把代码都切到 bitbucket 的
|
7
hahastudio 2019-02-22 14:10:18 +08:00
|
8
Greendays 2019-02-22 14:11:12 +08:00
这不都是旧闻了嘛。我觉得这种程度的个人信息泄露,应该立法对公司进行处罚才对。不然他们永远都不会重视。
|
9
LeeAaron 2019-02-22 14:12:03 +08:00
不是蒸的,是煮的
|
10
ljspython 2019-02-22 14:14:55 +08:00
标题党?
|
11
jadec0der 2019-02-22 14:17:59 +08:00 via iPhone 3
正常,这哥们敢管也是心大,其中一个企业脑残就进去了。见义勇为 14 天,网络也不是法外之地。
话说去年我给官方乌云(大约是叫互联网应急响应中心)报了个漏洞,等了两天回复我报告格式不规范,QTMD |
12
noaccounthere 2019-02-22 14:20:17 +08:00
.... 我服了, 楼主看个标题就来发帖了吗?
|
13
sigup 2019-02-22 14:25:45 +08:00 2
这哥们真是闲的蛋疼了,上一个给世纪佳缘报漏洞的小伙子,还在监狱吃免费饭呢.
|
14
Ultraman 2019-02-22 15:02:53 +08:00 via Android 1
|
16
o0 2019-02-22 15:08:48 +08:00 via iPhone
没有几千万,不评论。😅
|
17
illl 2019-02-22 15:13:11 +08:00 via iPhone
直接提交给阿里不是会有奖励的吗?
|
19
jyjsjd 2019-02-22 15:32:51 +08:00
最赞评论是骂张先生“多管闲事” 🙂️
|
21
icylogic 2019-02-22 15:40:53 +08:00 via iPhone
> 张中南表示:“想想还蛮开心的,今天保护了几十万个小孩子的隐私。”
这么做的确是有风险,吃力不讨好,但我是不想出言讽刺人家闲或者不懂法,有时候真是很单纯…… |
22
orangeade 2019-02-22 15:46:37 +08:00
阿里云安全意识还不如个人开发者
|
23
kernel 2019-02-22 15:51:30 +08:00
可以被所有外部人员访问的设置起名叫“ inernal"? 这特么是我也会搞错。
|
24
yzkcy 2019-02-22 15:52:22 +08:00
太标题党了吧?就像有很多傻屌把公司代码和数据库配置上传到 gayhub 上,所以 gayhub 有错?
"震惊!某境外网站竟然出现源代码泄露,涉及谷歌微软 BAT 等上万家企业百万项目。" |
25
hugedeffing 2019-02-22 15:54:28 +08:00
标题党--明显是公司配置,阿里云错在没有做好安全引导。
产品没有任何安全漏洞,错就错在没有正确安全引导而已。 |
26
orangeade 2019-02-22 15:55:39 +08:00 via Android 1
@kernel 就是拿 gitlab 改的,连设置都没动,企业自建 gitlab 有 internal 这种权限没问题,阿里云这么用就脑残了
|
27
l00t 2019-02-22 16:04:30 +08:00
把能公开访问的取名叫 internal 当然有错啊。
|
28
6IbA2bj5ip3tK49j 2019-02-22 16:07:08 +08:00
|
29
DT27 2019-02-22 16:14:21 +08:00
|
31
kernel 2019-02-22 16:30:25 +08:00 1
@xgfan 麻烦你查查什么是 Internal? 意思是实例内部才能访问。如果你是安装了一个私有 git(如 gitlab),Internal 指的是这个安装实例的用户才能访问。阿里云把它当作所有平台用户了,跨所有注册企业了。这很明显是阿里云误用了。
|
32
dbw9580 2019-02-22 16:33:02 +08:00 via Android 4
评论里说多管闲事的都是黑产的吧,人家说不定早就发现了这么一块大蛋糕,已经倒腾了好久了。网警出来干活了,查查后台实名,十拿九稳。
|
34
zhttty 2019-02-22 16:42:58 +08:00 via Android
明显是阿里云错,这在国外泄露这么多东西,估计要破产。
|
36
zzNucker 2019-02-22 16:51:57 +08:00
@kernel 不是阿里云把它当做所有平台用户了,是所有阿里云使用这个业务的用户用的是同一个 gitlab 实例。而这个 internal 的权限在 gitlab 里本身意思就是同一个 Gitlab 实例的所有用户能访问。不存在误用,应该说没提示好,可能让有些用户误认为自己企业上传的 project 在私有实例里。
|
37
zzNucker 2019-02-22 16:52:54 +08:00
V 站估计没几个用过 gitlab 的
|
38
kernel 2019-02-22 16:56:55 +08:00
@zzNucker 好傻,了解一下什么是多租户吧。另外可以被所有阿里云用户访问的权限和根本没有权限有任何区别吗?是个人都可以注册个阿里云,搞这种权限有个鸟用?
|
41
drackzy 2019-02-22 17:01:24 +08:00
阿里 gitlab 换换皮肤。
|
42
easylee 2019-02-22 17:02:11 +08:00
@kernel #38 没必要别解释了,浪费自己时间,那几位回复你的估计都没仔细看文章来龙去脉,以及两平台的“ inernal ”的区别。
|
43
tabris17 2019-02-22 17:09:04 +08:00
这的确不关阿里云的事啊,关于 internal 的解释已经很明确了,而且默认都是 private 的
|
44
zzNucker 2019-02-22 17:10:38 +08:00
@kernel 是没用啊,阿里云就把 gitlab 搬过来用也没给用户提示,确实是这个有问题。这和多租户有个鸟关系,gitlab 又不是他们建的。
|
46
tabris17 2019-02-22 17:11:22 +08:00
另外数据库的账号和密钥之类的敏感数据不是应该通过 export 导入环境变量么,至少配置和代码应该分 repo 保存啊,难道他们生产环境和开发环境用相同的密码?
|
47
bin456789 2019-02-22 17:14:58 +08:00
那 github 岂不是天天出事?
|
48
tabris17 2019-02-22 17:18:04 +08:00
很明确地写着:『项目可以被所有已登录用户克隆。』
这句话意义非常明确了。现在还特地加了一句:『注意:设置该权限的项目内代码对所有登录本站( https://code.aliyun.com )的用户可见,请谨慎设置。』 大概是给眼神不好的人准备的吧 |
49
hahastudio 2019-02-22 17:19:43 +08:00
话说阿里云不登录可以用么?因为 https://code.aliyun.com 打开就会跳转登录,感觉就没有 Public
但是直接打开 https://code.aliyun.com/explore 又能看到项目,但点开项目又会跳转登录 那么到底阿里云有没有真正的 Public ? |
50
hahastudio 2019-02-22 17:21:07 +08:00
|
51
chairuosen 2019-02-22 17:22:52 +08:00
internal 没有错,阿里云用 gitlab 的方式错了
|
52
oIMOo 2019-02-22 17:26:14 +08:00
和阿里云好像没什么关系啊……
出门之后,故意让大门开着,被盗了和防盗门没关系啊…… |
53
19zero 2019-02-22 17:30:29 +08:00
标题党➕1,文章里的张中南非蠢即坏,就像楼上说的,自己开设了一个大门让其他人进,还要怪这个门没提示?况且人家早就有中文提示了
|
54
tabris17 2019-02-22 17:36:02 +08:00
@hahastudio 是呀,我是说『现在还特地加了一句』。之前只有上半句。但是意思已经足够明确了
|
55
Mac 2019-02-22 17:37:25 +08:00 via Android
我就一个纯 html 企业官网,爱偷不偷
|
56
yzkcy 2019-02-22 17:40:58 +08:00
@9hills "阿里云出现源代码泄露 涉及万科等 40 家企业 200 余项目",这个标题你第一反应是什么?
我的意思是用户自己不细心,配置错误,导致源码泄漏。标题党写平台导致源代码泄漏的没意思。这里 github 只是举例,"震惊!某境外网站竟然出现源代码泄露,涉及谷歌微软 BAT 等上万家企业百万项目。" |
57
hahastudio 2019-02-22 17:42:07 +08:00
@tabris17 没有真的用过阿里云,我在想是不是因为打开项目总是需要登录,所以使得用户直觉上认为 Public 需要登录,也就是本该是 Internal 的行为,然后使得用户认为 Internal 是控制在企业内部访问的
因为我觉得,既然有这么多用户都理解错了,那就不该是用户的问题,肯定是某些地方使得用户产生了误解,尤其是对没用过 GitLab 的用户来说 |
58
tabris17 2019-02-22 17:52:51 +08:00
@hahastudio 先不说『所有已登录用户』这个定义已经非常明确没有歧义了,如果拍脑袋想当然觉得 internal 是『企业』内部访问,但是这个『企业』的概念是哪里冒出来的?你在后台的哪里看到能创建和管理『企业』了?
如果是小白用户犯这种低级错误还情有可原,自己就是个写代码的码农,这点逻辑演绎能力都没有还怎么写代码 |
59
hahastudio 2019-02-22 18:02:48 +08:00
@tabris17 那我估计,他们的想法是,因为有 Group 的存在,这是在 Project 的上一层权限管理,所以既然 Private 对应的是 Project 内的,那 Internal 就对应 Group 内的
|
60
akira 2019-02-22 18:34:32 +08:00
仓库权限的事情 之前已经有人提过了吧
|
61
hoyixi 2019-02-22 18:57:47 +08:00
多大个事儿,把发现(提出)这个安全问题的人消灭就行了:)
|
63
gy911201 2019-02-22 19:08:03 +08:00
|
65
kaneg 2019-02-22 19:52:20 +08:00 via iPhone
很可能这些公司的员工压根就不知道他们居然与其他公司的员工在同一个体系(即所谓的 internal )内裸奔
|
66
LanFomalhaut 2019-02-22 19:55:15 +08:00
一天天的非要搞大事..2KW 准备好了么
|
68
ffeii 2019-02-22 19:58:51 +08:00
之前还在想怎么阿里云上这么多开源项目。。
|
69
shanigan 2019-02-22 21:23:03 +08:00
|
71
ilgharkus 2019-02-22 23:08:11 +08:00
@dbw9580 https://weibo.com/u/1482691313 这人喷的我都佛了 doge
|
72
gy911201 2019-02-23 00:00:43 +08:00
@shanigan gitlab 个人用户和企业用户的行为都是一致的,其实本来密钥就不应该进代码库,这玩意儿应该是用环境变量或者其他手段注入程序的才对……………………
|
73
blless 2019-02-23 00:06:09 +08:00 via Android
gitlab 锅大一点,而且其实说明写的蛮清楚的
|
74
missdeer 2019-02-23 09:02:00 +08:00
有阿里索赔 1000 万的前车之鉴在,换我绝对不敢说出去
|
75
firemiles 2019-02-23 09:27:47 +08:00
在公司内部的代码库 internal 就是企业内部公开啊,哪想到阿里改都不改 gitlab 逻辑,直接把私有云的逻辑套到公有云,变成大家都是内部用户,那 public 还有什么用
|
76
acupnocup 2019-02-23 10:41:23 +08:00 via iPad
你有 1000 万吗
|
77
uleh 2019-02-23 11:11:07 +08:00
客观公平的说,阿里的锅不算大,顶多是选项名称不太清楚,导致了部分(不专业)用户的误用。
打个比方来说,有公司使用 github 管理代码,结果建了个 public repo。你能说这是 github 的漏洞吗? github 需要在你建站的时候再给你弹个大窗完了再给你打个电话说哥们,你代码全网可见的哦,你确定要 public ? 然后你发现了 x 公司有这个问题,你(而非 x 公司的帐号管理员)去联系 github,github 会帮你去通知? |
78
imaple 2019-02-23 11:21:02 +08:00
有什么好玩的项目可以看么
|
79
woodface2233 2019-02-23 15:16:32 +08:00 via iPhone
@beingbin 谁被索赔了
|