“关于全部用户资料都泄露”,阿里云有话要说

安全
9月2日,有自媒体人发表《阿里云被爆重大安全漏洞全部机器权限全部用户资料或已泄露》文章,声称“通过此BUG,客户(或黑客)进入阿里云内部网络即可获取阿里云所有用户数据+权限。包括客户的关联账户,客户资料,服务器权限等。这意味着,阿里云全部机器权限、全部用户资料可能已泄露。”

9月2日,有自媒体人发表《阿里云被爆重大安全漏洞全部机器权限全部用户资料或已泄露》文章,声称“通过此BUG,客户(或黑客)进入阿里云内部网络即可获取阿里云所有用户数据+权限。包括客户的关联账户,客户资料,服务器权限等。这意味着,阿里云全部机器权限、全部用户资料可能已泄露。”

“关于全部用户资料都泄露”,阿里云有话要说

对此,阿里云严正声明:

1、这一信息不属实,经确认,文中截图是阿里云云市场供应商管理系统,方便供应商查阅自己名下客户ID和手机。由于该系统代码调用异常,触发个别阿里云供应商的界面异常,不仅看到了自己的客户,也看到了部分其他客户的姓名和电话,但无法获取“服务器权限”,也不存在云盾被注入盗取密码问题。

2、我们已在第一时间处理修复问题,进一步排查后未发现更多异常。

3、对于该不实信息传播,我们将依法追究相关法律责任。

编者按:

此外,针对9月1日云盾安骑士产品升级触发bug导致用户ECS里部分正常文件被误隔离一事,阿里云云盾负责人吴翰清特别撰文阐述事件真相。并向受影响的用户诚挚道歉。

阿里云云盾负责人吴翰清致云盾用户的一封信

危机时刻,我只心疼我们的客户在9月1日,我经历了非常难忘的一天。阿里云云盾的安骑士产品升级触发bug导致了用户ECS里的部分正常文件被误隔离。故障恢复期间,不断有朋友问我,阿里云所有客服也都忙于处理这个问题。而我,是云盾的负责人。

这次的故障是由于工程师粗心大意写错了一行代码,从而将所有新启动的可执行文件都当成了恶意文件进行隔离。由于我们之前在设计上的缺失,对这一特殊的异常情况缺乏快速恢复的机制,只能临时写程序进行紧急恢复,因此整个故障持续了较长的时间。在此首先向所有遭遇这次故障的客户表示深深的歉意。但请不用担心的是,这次故障不会造成任何数据丢失,更不会如某些谣言所说会造成数据泄露。

这次故障也暴露出了我们在研发流程上的一些问题,我们会深刻反思和改进,在此不再赘述。对于写出这行代码的工程师,我相信他已经得到了深刻的教训。而我也将为整个事件承担该有的管理责任。

但这些都无法挽回我们客户的损失。在微博上看到客户的吐槽,充满了愤怒和无奈,作为当事人的我,心情是极其复杂的。随后的谣言四起,加上有心人推波助澜,让我无法再保持沉默,我来直面这些疑问。

很多人的疑问在于阿里云身为云计算服务商,为什么可以删除客户服务器里的文件?这让很多客户产生了一种对云计算的不信任感。

要回答这个问题,就必须先从AWS的安全共担模式,和阿里云的保姆模式说起。

实际上,AWS作为业界云计算的标杆,在客户安全的态度上采取的是一种共担模式,即AWS只对它作为云计算平台本身的安全负责,而选择把客户的安全交给第三方安全厂商,所以在AWS的MarketPlace里,卖的最好的也是安全产品。

而阿里云在成立的第一天起,就认为安全是云计算最重要的事情。同时,我们也看到中国的IT行业,和美国的IT行业有着非常大的区别。在美国,IDC里有着各种成熟的IT解决方案以及商业化产品,美国的企业安全市场付费能力也非常的强,因此美国的安全市场已经相对比较成熟了。

而在中国,大量的中小企业客户实际上处于一个裸奔状态,他们的安全需求往往得不到满足。在这样的市场环境下,为了更好的培育云计算市场,让客户能够把更多的精力聚焦在自己的业务上,我们在云计算解决方案里集成了自主研发的安全产品,希望能够将阿里多年在安全技术上积累的经验,分享给所有阿里云的客户,这就是云盾的一系列产品。

因此安全对于阿里云来说很重要,我们希望客户在使用阿里云时,能够尽可能少的担忧安全问题。基础攻防类的安全需求,都可以通过云盾解决掉。这就是阿里云安全的保姆模式,我们帮客户做了更多的事情。

在云盾之外,我们也借鉴了AWS的思路,会广泛邀请安全厂商和开发者为云上的客户提供服务。比如在VPC网关后通过SDN技术串接虚拟网络设备的位置,我们就是开放给安全厂商的。

云盾是阿里云的一个安全品牌,是一系列安全产品的组合。比如防御了453.8Gbps的DDoS攻击的DDoS高防IP产品是其中之一,即将推出的弹性安全网络产品是一个新的基础网络安全产品,还有已经在公测的「态势感知」产品,可以帮助客户做安全数据分析,让安全决策变得简单;这次造成故障的安骑士产品是希望解决所有服务器的安全问题。

安骑士产品的主要功能,是提供高危漏洞修复、防服务器密码破解和木马文件查杀。预装在阿里云的每一个ECS里,因为我们希望售卖的每一台ECS都是安全的。如果客户不想使用云盾安骑士服务,可以按照官方的指导说明来进行卸载。

安骑士是免费服务,这些年发挥了很好的作用。比如在2014年10月,WDCP出现了严重的安全漏洞,黑客可通过此漏洞添加管理帐号,并登录WDCP管理后台。当时阿里云上有上千台安装WDCP的ECS受此漏洞影响,并有部分机器已经被黑客植入了名为Gates的DDoS木马。当时安骑士在第一时间添加了漏洞修复规则和Gates木马查杀特征,在1天内完成了所有受影响ECS的漏洞修复和木马清理。

现在,通过安骑士防暴力破解功能的协同防御机制,每一天都会拦截超过5亿次的暴力破解攻击。我们在今年上半年做过一次测试,在某云平台购买的一台机器开放SSH到公网后,统计了一周有82703次SSH登录失败的记录(暴力破解攻击),而在云盾安骑士的保护下,阿里云的一台测试机器只有72次SSH登录失败记录。

互联网的不安全,超出你的想象。

但我对目前的产品现状仍然有很多不满意的地方。我一直在团队内部倡导和强调的文化是「透明」。我希望每个人的工作都能透明出来,所以我们会在墙上贴出云盾看板,透明出每个团队做的工作和进度,让所有路过的人能够看到;我希望我们的产品能够变得更加的透明一些,把产品做的所有事情透明给用户,特别是一些需要用户授权和允许的操作。

在这一点上,过去做的不够好,我们正在努力改变。这次安骑士误隔离用户的正常文件所涉及的功能,在设计上是一个用户可选的功能,但却因为bug配置上了其他用户,这也是一个非常严重的失误。

在这次故障恢复后,阿里云已经立即启动了百倍时间赔偿的计划。但是我认为这也是远远不够的,云盾应该再多做一些事情。

所以我今天做出了以下决策:

1.对于本次故障受到影响的客户,我们会赠予一批云盾付费产品,包括:弹性安全网络、态势感知、安骑士云托管。我们会在近期拟定方案并开通服务,客户也可以选择不使用。

2.安骑士将尽快提供方便快捷的一键关闭功能。

3.我们会给受影响的客户写一封手写的道歉信。

4.对于影响较大的客户,我们会即刻出发登门拜访负荆请罪,直面你的怒火和建议。

以上这些,希望能够帮助我们的客户带来更好的安全感受。对于选择离去的客户,我们会全力配合做好迁移工作,并诚挚的希望有一天你们会再回来。对于愿意选择继续相信我们的客户,我们会怀抱着最大的感恩之心,与你们共同成长。

做云计算难免故障,在危机时刻,我只心疼我们的客户。

吴翰清(道哥、刺)

2015年9月3日凌晨。

责任编辑:蓝雨泪 来源: 运维帮
相关推荐

2017-09-21 17:14:46

大数据AITalkingData

2012-08-27 14:23:50

2013-12-05 16:07:15

Windows XP

2012-12-12 16:05:55

虚拟化存储

2018-08-30 15:00:02

Python编程语言数据分析

2021-01-12 15:24:39

数据泄露网络安全因素认证

2013-07-23 10:24:51

2023-11-12 19:31:34

阿里云语雀

2012-11-28 10:24:44

云存储云安全

2011-11-10 16:59:26

当当网安全漏洞用户资料

2016-09-23 09:51:57

2011-05-04 10:15:43

云计算安全

2014-10-11 13:49:59

阿里云

2014-08-28 17:49:43

阿里云云计算

2021-03-05 06:27:38

MySQL日志机制

2014-05-19 09:36:50

新闻回顾

2009-03-30 08:34:48

Palm移动OS

2011-12-22 10:58:37

2015-05-20 13:06:03

2017-06-05 10:34:21

互联网
点赞
收藏

51CTO技术栈公众号