大家一起来探讨一下阿里网盘这次的 Bug 是什么导致的
xiaohupro · hubianluanma · 2024-09-17 09:33:23 +08:00 · 13656 次点击这是一个创建于 409 天前的主题,其中的信息可能已经有所发展或是发生改变。
这几天阿里网盘泄露用户隐私的重大 bug 大家应该都知道了,但是我很难理解这种 bug 是什么导致的?按道理登录已经鉴权了,自己存的东西理论上肯定是有和用户唯一标识对应的关系呀,怎么会存在能看到其他用户内容的情况,大家一起来分析分析。
 |
1
qianji201712 2024-09-17 09:34:54 +08:00  16
这还要讨论?不就是菜,草台班子
|
 |
2
shakaraka PRO 9
有啥好讨论的,where 写错了呗
|
 |
3
realpg PRO 某个接口鉴权错了 小 bug 影响大而已
|
 |
4
HenrikC 2024-09-17 09:46:10 +08:00 2
这么敏感的事,轻描淡写的的就过去了,没有隐私可言。。。。
|
 |
5
gxt92 2024-09-17 09:54:18 +08:00
鉴权没做好
|
 |
6
lifei6671 2024-09-17 09:55:31 +08:00 3
拉相册图片的时候 where 语句没加 uid 。
|
 |
7
Configuration 2024-09-17 09:57:56 +08:00
@HenrikC 轻描淡写?阿里有官方回复吗?
|
 |
8
onlyshit 2024-09-17 09:58:06 +08:00 1
hash 碰撞了吧
|
 |
9
1145148964 2024-09-17 09:59:08 +08:00
想少了。有可能是专门留出来看别人照片用的。
和之前 openssh 那次漏洞有的比 |
 |
10
LuffyPro 2024-09-17 10:08:33 +08:00
不大相信,大厂会出现这种低级错误(当然,也有可能是我视野不够,触及不到这种 bug 出现的其他场景);不过就看到几个截图,不知道是否必现,如果是必现问题,这锅放到产研线,谁的锅更大点?程序员?测试?
|
 |
11
allanzhuo 2024-09-17 10:10:49 +08:00 via Android 11
世界都是个草台班子,以前我觉得大厂写代码都很牛逼,进来后发现菜鸡一堆
|
 |
12
povsister 2024-09-17 10:14:39 +08:00 14
@HenrikC
说句可能不那么 zzzq 的话,真在乎隐私就别上云,自己的数据只掌握在自己手里。 国内没有端到端加密的网盘,那么被大厂研发看到和被所有人看到区别大吗?我觉得压根无所谓,这种定性的事情不需要在乎 1 还是 N ,有就是有,没有就是没有。 |
|
13
HenrikC 2024-09-17 10:36:27 +08:00
@Configuration
阿里云盘相关工作人员回应:“14 日晚上,技术人员已经第一时间修复了 BUG ,相关功能可以正常使用,用户影响面较小。” |
 |
15
totoro625 2024-09-17 10:42:32 +08:00
@LuffyPro #10 “不过就看到几个截图,不知道是否必现”
这句话太强了,可以引申到,不过就看到几段视频,也不是每个人都能遇到的事情,不能以偏概全 再过一段时间,视频全部投诉下架,直接当做无事发生 |
 |
16
hiboshi 2024-09-17 10:44:03 +08:00
听说是因为相册有个相册 ID ,但是新加坡着火了导致数据迁移回国内,新加坡的数据和国内数据发生冲突了,解决的办法应该是用户 id+相册 ID
|
 |
17
Steve0723 2024-09-17 11:21:11 +08:00 via Android
就是权限管理没做好
|
 |
18
wssy001 2024-09-17 11:30:03 +08:00 1
有啥好讨论的,不就是代码提交前的自测,关键的数据权限代码被打上了注释,发版时没注意取消注释给提交上去了
|
 |
19
arongpm 2024-09-17 11:31:20 +08:00
看了买 NAS 是对的,之前还抱怨花那么多钱买的 nas 不值,现在看来真香,记住一点,nas 激活选择地区要选世界,不要选大陆。
|
 |
20
abccccabc 2024-09-17 11:33:16 +08:00
有没有一种可能是因为裁人导致的 bug (^_^)
|
 |
21
jinliming2 2024-09-17 12:10:01 +08:00 via iPhone
@hiboshi #16 貌似说不太通。目前看到的复现案例,有多个数据一样的,甚至顺序都一样。
如果是国内 ID 和新加坡 ID 冲突,导致新建的国内相册 ID 碰撞到了新加坡相同 ID 的数据。那就解释不通多个人能碰撞到完全相同的相册了,国内新建相册 ID 不至于都重复吧? |
 |
22
l2d 2024-09-17 14:13:59 +08:00 13
一般的水平越权都是接口级别。比如一个 get 查询接口存在 id 入参,你替换 id 抓包能看到别人的内容。因为后端接口没做鉴权,这是比较常见的问题。
但是上述情况你得抓包才能看见问题,所以非技术人员不知道,舆论影响没那么大。 阿里云盘这个,主要功能越权的同时展现在前端,放在整个互联网行业都是相当低级的错误。除了研发的疏忽,安全工程师没发现这个问题,也得背大锅。 |
 |
23
securityCoding 2024-09-17 18:06:20 +08:00 via Android
应该 mybatis where 条件匹配拉空了导致越权吧
|
 |
24
nyxsonsleep 2024-09-17 20:49:16 +08:00
@arongpm #18 群晖吗?
|
 |
25
R4rvZ6agNVWr56V0 2024-09-17 21:20:21 +08:00
鉴权参数不健全。怎么三元组(sessionId, userId, AlbumId) 匹配一下吧。毕竟 Album 也会被 shared ,上级部门要追分享过程的路径,也好举证嘛。 这么看来,阿里网盘是通过 Log 埋点串起用户行为的。
|
|
26
R4rvZ6agNVWr56V0 2024-09-17 21:21:33 +08:00
所以,大概率是架构设计存在一些安全缺陷。
|
 |
27
dream7758522 2024-09-17 22:34:54 +08:00 2
本质上,阿里云盘介绍页面上说的加密存储是骗人的。既然是加密存储,就算是别人的网盘资料泄露,看到的应该是一堆损坏了的乱码图片。细思极恐
|
 |
28
catazshadow 2024-09-17 23:45:26 +08:00
阿里根本不是个科技公司,其实就是个所有中层都之对上负责的税收机构、放贷机构
|
 |
29
so2back 2024-09-18 00:41:46 +08:00
这个确实离谱,那天晚上我 7 点看到群里有人发聊天记录后试了下能复现,那个聊天记录还是 6 点开头的,整整一个钟都没修复好
|
|
31
arongpm 2024-09-18 08:28:39 +08:00
@nyxsonsleep 不是,我买的是 qnap
|
 |
32
edcopclub 2024-09-18 08:51:02 +08:00 via Android
内部权限配给普通用户
|
 |
33
zliea 2024-09-18 09:00:34 +08:00
@dream7758522 这个加密指的是落盘加密,哈哈哈
|
 |
34
EndlessMemory 2024-09-18 09:07:48 +08:00
没做鉴权
|
|
35
nyxsonsleep 2024-09-18 09:30:46 +08:00
@l2d #21 其实以前百度网盘也出过,我还自己测试过看看别人存了什么。
|
 |
36
JoeDH 2024-09-18 09:41:18 +08:00
假期泡汤+325
|
 |
37
realJamespond 2024-09-18 09:56:57 +08:00
接口仔的问题呗,又不代表阿里云核心技术实力
|
 |
39
jixiangqd 2024-09-18 10:18:55 +08:00
去企查查,阿里云盘的归属是个第三方公司,也就是说这个产品是外包的,所以各种操作才那么骚。出这种 bug 也见怪不怪了
|
 |
40
angeni 2024-09-18 10:28:47 +08:00
菜
|
 |
41
kaf 2024-09-18 10:33:42 +08:00
盲猜 cdn 配置针对 url 缓存,没有处理鉴权内容导致读到了其他人的缓存
|
 |
42
iamwin 2024-09-18 10:57:50 +08:00
说明加密存储就是扯淡的啊
|
 |
43
asuraa 2024-09-18 11:05:19 +08:00
所以照片啊视频啊这些私密的数据,绝对不能存国内的网盘,包括单不限于百度云阿里云等等。
OneDrive 或者 icloud 可以存,这些是服务端加密的。 最好还是自己弄 nas 存自己家里 |
 |
44
Foxkeh 2024-09-18 12:14:29 +08:00
平行越权, 安全测试不彻底
|
 |
45
llmice 2024-09-18 13:25:05 +08:00
请了一堆 fw,几万人应该有 99%都是死混子,人越多干的事情越乱,一个人能搞定了分配了 100 个人,然后 100 个人互相推责任.
|
 |
46
sincw 2024-09-19 10:13:36 +08:00
可能某个环节的 where 条件空了
|
 |
47
cocomanber 2024-09-19 10:55:35 +08:00
草台班子,都是一批白菜新人,年年招新年年堆屎山,能力好的自然牛逼
@allanzhuo |
 |
49
freeair 2024-09-26 14:20:32 +08:00
怀疑又是降本增笑,再好的规则,也要人来执行的,能出这么大的问题,说明很多品控环节都失效或者流于形式。
另外,阿里云盘近期声誉本就下降得厉害,个人用户基本没人推荐了。 |
Select Language