来源:雪球App,作者: 清流财记,(https://xueqiu.com/9048045332/304709143)
周末有一件大事值得关注:9 月 14 日晚,网传多条视频和消息显示阿里云盘出现了灾难级 Bug,用户新建空相册时,系统会自动加载其他用户的私密照片!B 站上更有 UP 主复现了这一 BUG,并做了视频,光这画面就真的是细思极恐。还有小姐姐的自拍照和王者荣耀的截图,太魔幻了。
对于任何一个系统而言,用户之间的隔离是最起码的保障,也就是你通过账号密码登录你的账户,就只能看到属于你自己的东西,而阿里云盘,这直接打破了数据安全的最低要求。根据网传截图,该 Bug 主要出现在 PC 端,官方应该很快就发现了该 Bug,并且大概 1 个多小时左右,官方对图片做了临时的拦截处理,虽然仍然能刷出来,但不可预览。
有专业媒体也询问了阿里云盘官方,工作人员回应:“已经收到其他用户反馈此类问题,已经上报相关部门。”但至于 Bug 为什么出现、影响范围有多大、以及事后的处理结果,目前还不得而知,截止本文发文前,官方尚未有相关通报。
这次的事故影响可能比服务器崩掉更严重,因为涉及到用户隐私的泄露,影响范围是不可估量的。想象一下,你把云盘当做备份,把自己的身份证、或者个人私密照片传了上去,结果被很多陌生人看到了,会是什么感受?
某位专业人士表示:应该是查询个人相册数据时少了一些查询条件,比如 userId = xxx。或者是关联查询时,先查询对应 userId 的图片 id,再用图片 id 去查询图片列表;由于是空相册没有图片,所以就没有将图片 id 作为查询列表的限制条件。
当然以上只是个人猜测,由于该 Bug 主要出现在 PC 端,还有是前端漏传查询条件导致的,或者不同客户端调用的接口和逻辑规则不同。但无论是以上哪种猜测,估计都是一个特别低级的 Bug。蹲一手官方的通报,到时候若能送个会员定是极好的。
@今日话题 @雪球基金 #基民的日常# #股民日常# #阿里云# $阿里巴巴(BABA)$ $恒生科技ETF(SH513130)$
