阿里雲洩漏原始碼 逾40企業受害


2019-02-23 06:00

中國科技業資安疑慮升高,阿里巴巴旗下計算公司「阿里雲」被爆出洩漏原始碼,讓四十多家企業、兩百多項計畫「資訊裸奔」。(歐新社)

中國科技業爆資安漏洞

〔編譯羅綺/綜合報導〕中國科技業資訊安全疑慮升高,阿里巴巴集團旗下計算公司「阿里雲」被爆出洩漏原始碼,涉及萬科集團、咪咕音樂、五一信用卡旗下五一足跡、百度無人車合作夥伴ECARX等四十多家企業、兩百多項計畫,損失難以估計,且至今仍未完全解決。

萬科、百度無人車夥伴ECARX中鏢

中媒《鉛筆道》報導,任職上海一家科技公司的後端工程師張中南爆料,去年八月他註冊阿里雲平台帳號後,意外發現阿里雲存在嚴重資安漏洞,使用者只要登入阿里雲帳號,就能瀏覽多家企業的「內部資料」,包括數據庫、帳號、密碼等商業機密。

張中南認為,之所以出現資安漏洞,是因阿里雲受控代碼(managed code)業務是全英文平台,且訪問權限設置存在歧義,導致程式設計師在建置公司資料時,不慎將訪問權限設置成「平台公開」(internal)。

張中南表示,發現潛在安全風險後,他曾通知其中部分公司修改資料項目權限,但此舉存在法律風險,他轉而直接告知阿里雲客服,欲藉由阿里雲通知這些企業;然而,阿里雲客服卻「唬弄了事」,這些企業仍處於「資訊裸奔」狀態。

阿里雲週五表示,已加強對「Internal權限」的中文註解,並將操作頁面改為中文,目前訪問權限選項有「私有」(Private)、「站內登錄可見」(Internal)、「完全公開」(Public);並逐一通知將訪問權限設為Internal的客戶,試圖填補資安漏洞。不過,這次資安疑慮已在中國科技業蔓延,導致人心惶惶。

還想看更多新聞嗎?歡迎下載自由時報APP,現在看新聞還能抽獎,共9萬個中獎機會等著你:

iOS載點 https://bit.ly/ltn_appstore

Android載點 https://bit.ly/ltn_googleplay

活動辦法: https://draw.ltn.com.tw/slot_v8/

新聞送上來!快加入自由電子報APP、LINE好友


iOS Android APP下載
QR Code
L I N E
加入好友
已經加好友了,謝謝
歡迎加入【自由財經】
按個讚 心情好
已經按讚了,謝謝。
網友回應
今日熱門新聞