这是一个创建于 393 天前的主题,其中的信息可能已经有所发展或是发生改变。
这几天阿里网盘泄露用户隐私的重大 bug 大家应该都知道了,但是我很难理解这种 bug 是什么导致的?按道理登录已经鉴权了,自己存的东西理论上肯定是有和用户唯一标识对应的关系呀,怎么会存在能看到其他用户内容的情况,大家一起来分析分析。
 | 1 qianji201712 2024-09-17 09:34:54 +08:00  16 这还要讨论?不就是菜,草台班子 |
 | 2 shakaraka PRO 9 有啥好讨论的,where 写错了呗 |
 | 3 realpg PRO 某个接口鉴权错了 小 bug 影响大而已 |
 | 4 HenrikC 2024-09-17 09:46:10 +08:00 2 这么敏感的事,轻描淡写的的就过去了,没有隐私可言。。。。 |
 | 5 gxt92 2024-09-17 09:54:18 +08:00 鉴权没做好 |
 | 6 lifei6671 2024-09-17 09:55:31 +08:00 3 |
 | 7 Configuration 2024-09-17 09:57:56 +08:00 @HenrikC 轻描淡写?阿里有官方回复吗? |
 | 8 onlyshit 2024-09-17 09:58:06 +08:00 1 hash 碰撞了吧 |
 | 9 1145148964 2024-09-17 09:59:08 +08:00 想少了。有可能是专门留出来看别人照片用的。 和之前 openssh 那次漏洞有的比 |
 | 10 LuffyPro 2024-09-17 10:08:33 +08:00 不大相信,大厂会出现这种低级错误(当然,也有可能是我视野不够,触及不到这种 bug 出现的其他场景);不过就看到几个截图,不知道是否必现,如果是必现问题,这锅放到产研线,谁的锅更大点?程序员?测试? |
 | 11 allanzhuo 2024-09-17 10:10:49 +08:00 via Android 11 世界都是个草台班子,以前我觉得大厂写代码都很牛逼,进来后发现菜鸡一堆 |
 | 12 povsister 2024-09-17 10:14:39 +08:00 14 @HenrikC 说句可能不那么 zzzq 的话,真在乎隐私就别上云,自己的数据只掌握在自己手里。 国内没有端到端加密的网盘,那么被大厂研发看到和被所有人看到区别大吗?我觉得压根无所谓,这种定性的事情不需要在乎 1 还是 N ,有就是有,没有就是没有。 |
| 13 HenrikC 2024-09-17 10:36:27 +08:00 @Configuration 阿里云盘相关工作人员回应:“14 日晚上,技术人员已经第一时间修复了 BUG ,相关功能可以正常使用,用户影响面较小。” |
 | 15 totoro625 2024-09-17 10:42:32 +08:00 @LuffyPro #10 “不过就看到几个截图,不知道是否必现” 这句话太强了,可以引申到,不过就看到几段视频,也不是每个人都能遇到的事情,不能以偏概全 再过一段时间,视频全部投诉下架,直接当做无事发生 |
 | 16 hiboshi 2024-09-17 10:44:03 +08:00 听说是因为相册有个相册 ID ,但是新加坡着火了导致数据迁移回国内,新加坡的数据和国内数据发生冲突了,解决的办法应该是用户 id+相册 ID |
 | 17 Steve0723 2024-09-17 11:21:11 +08:00 via Android 就是权限管理没做好 |
 | 18 wssy001 2024-09-17 11:30:03 +08:00 1 有啥好讨论的,不就是代码提交前的自测,关键的数据权限代码被打上了注释,发版时没注意取消注释给提交上去了 |
 | 19 arongpm 2024-09-17 11:31:20 +08:00 看了买 NAS 是对的,之前还抱怨花那么多钱买的 nas 不值,现在看来真香,记住一点,nas 激活选择地区要选世界,不要选大陆。 |
 | 20 abccccabc 2024-09-17 11:33:16 +08:00 有没有一种可能是因为裁人导致的 bug (^_^) |
 | &bsp; 21 jinliming2 2024-09-17 12:10:01 +08:00 via iPhone @hiboshi #16 貌似说不太通。目前看到的复现案例,有多个数据一样的,甚至顺序都一样。 如果是国内 ID 和新加坡 ID 冲突,导致新建的国内相册 ID 碰撞到了新加坡相同 ID 的数据。那就解释不通多个人能碰撞到完全相同的相册了,国内新建相册 ID 不至于都重复吧? |
 | 22 l2d 2024-09-17 14:13:59 +08:00 13 一般的水平越权都是接口级别。比如一个 get 查询接口存在 id 入参,你替换 id 抓包能看到别人的内容。因为后端接口没做鉴权,这是比较常见的问题。 但是上述情况你得抓包才能看见问题,所以非技术人员不知道,舆论影响没那么大。 阿里云盘这个,主要功能越权的同时展现在前端,放在整个互联网行业都是相当低级的错误。除了研发的疏忽,安全工程师没发现这个问题,也得背大锅。 |
 | 23 securityCoding 2024-09-17 18:06:20 +08:00 via Android 应该 mybatis where 条件匹配拉空了导致越权吧 |
 | 24 nyxsonsleep 2024-09-17 20:49:16 +08:00 @arongpm #18 群晖吗? |
 | 25 R4rvZ6agNVWr56V0 2024-09-17 21:20:21 +08:00 鉴权参数不健全。怎么三元组(sessionId, userId, AlbumId) 匹配一下吧。毕竟 Album 也会被 shared ,上级部门要追分享过程的路径,也好举证嘛。 这么看来,阿里网盘是通过 Log 埋点串起用户行为的。 |
| 26 R4rvZ6agNVWr56V0 2024-09-17 21:21:33 +08:00 所以,大概率是架构设计存在一些安全缺陷。 |
 | 27 dream7758522 2024-09-17 22:34:54 +08:00 2 本质上,阿里云盘介绍页面上说的加密存储是骗人的。既然是加密存储,就算是别人的网盘资料泄露,看到的应该是一堆损坏了的乱码图片。细思极恐 |
 | 28 catazshadow 2024-09-17 23:45:26 +08:00 阿里根本不是个科技公司,其实就是个所有中层都之对上负责的税收机构、放贷机构 |
 | 29 so2back 2024-09-18 00:41:46 +08:00 这个确实离谱,那天晚上我 7 点看到群里有人发聊天记录后试了下能复现,那个聊天记录还是 6 点开头的,整整一个钟都没修复好 |
| 31 arongpm 2024-09-18 08:28:39 +08:00 @nyxsonsleep 不是,我买的是 qnap |
 | 32 edcopclub 2024-09-18 08:51:02 +08:00 via Android 内部权限配给普通用户 |
 | 33 zliea 2024-09-18 09:00:34 +08:00 @dream7758522 这个加密指的是落盘加密,哈哈哈 |
 | 34 EndlessMemory 2024-09-18 09:07:48 +08:00 没做鉴权 |
| 35 nyxsonsleep 2024-09-18 09:30:46 +08:00 @l2d #21 其实以前百度网盘也出过,我还自己测试过看看别人存了什么。 |
 | 36 JoeDH 2024-09-18 09:41:18 +08:00 假期泡汤+325 |
 | 37 realJamespond 2024-09-18 09:56:57 +08:00 接口仔的问题呗,又不代表阿里云核心技术实力 |
 | 39 jixiangqd 2024-09-18 10:18:55 +08:00 去企查查,阿里云盘的归属是个第三方公司,也就是说这个产品是外包的,所以各种操作才那么骚。出这种 bug 也见怪不怪了 |
 | 40 angeni 2024-09-18 10:28:47 +08:00 菜 |
 | 41 kaf 2024-09-18 10:33:42 +08:00 盲猜 cdn 配置针对 url 缓存,没有处理鉴权内容导致读到了其他人的缓存 |
 | 42 iamwin 2024-09-18 10:57:50 +08:00 说明加密存储就是扯淡的啊 |
 | 43 asuraa 2024-09-18 11:05:19 +08:00 所以照片啊视频啊这些私密的数据,绝对不能存国内的网盘,包括单不限于百度云阿里云等等。 OneDrive 或者 icloud 可以存,这些是服务端加密的。 最好还是自己弄 nas 存自己家里 |
 | 44 Foxkeh 2024-09-18 12:14:29 +08:00 平行越权, 安全测试不彻底 |
 | 45 llmice 2024-09-18 13:25:05 +08:00 请了一堆 fw,几万人应该有 99%都是死混子,人越多干的事情越乱,一个人能搞定了分配了 100 个人,然后 100 个人互相推责任. |
 | 46 sincw 2024-09-19 10:13:36 +08:00 可能某个环节的 where 条件空了 |
 | 47 cocomanber 2024-09-19 10:55:35 +08:00 草台班子,都是一批白菜新人,年年招新年年堆屎山,能力好的自然牛逼 @allanzhuo |
 | 49 freeair 2024-09-26 14:20:32 +08:00 怀疑又是降本增笑,再好的规则,也要人来执行的,能出这么大的问题,说明很多品控环节都失效或者流于形式。 另外,阿里云盘近期声誉本就下降得厉害,个人用户基本没人推荐了。 |
Select Language