某云盘被爆隐私照片泄露Bug!
今天早上在小红书看到很多帖子说某云盘出现了“串台”Bug。
简单来说就是新建一个空的文件夹,类型修改为相册,就能看到很多其它用户的图片(PS:等我去验证的时候似乎已经修复了)
作为国内头部互联网公司的云盘,出现这种Bug实在难以让人置信,但是作为程序员,对出现这种Bug也觉得在情理之中。
表现上,非常典型的发生了用户横向越权访问了,或者是查询漏了条件。
云盘从技术上大概分为元数据,像文件夹、文件名、大小这类,都是存储在MySQL这种关系型数据库上的,另外是文件数据,一般是存在分布式对象存储上面,比如HDFS、Ceph这类。
不过比较幸运的是,我从来不用云盘存储私人敏感照片之类的,最多放一些文件、pdf这类。
另外,除了云盘,包括手机的备忘录、家里的云摄像头、云文档、社交媒体的草稿箱等等和云相关的,大家都要谨慎使用,不要完全放心的将自己的敏感数据放在上面,如银行卡密码、私密照片等。
比如云摄像头,你猜猜后台人员是不是有权限能调看某个摄像头的数据情况?
程序员懂得都懂,可能产品介绍上会说用了XXX加密、端到端加密等等一堆的话术让你安心,但是一般都是有工具或者后门接口可以做一些查询的,包括系统的日志等。
不然出了问题拿什么定位呢?
只不过,大公司在这方面对于用户隐私数据保护的意识会更强,会在各种查询接口上加入严格的权限管控、日志审计、留痕等操作。
但是在严格的为用户数据进行保密和排查问题的便捷性上是有一些权衡的!极端的保护用户隐私,就会导致出现问题非常难以定位,或者需要层层审批查询系统数据~
但也不用过度担忧啦,一般相关人员也不会、也没动机冒着被开的风险去查不相关的用户数据。
但是你可能会作为一个随机用户,被用来验证某些系统功能是否正常,看看你的数据是否符合预期之类的!
所以咱们能做的就是尽量不放敏感数据上去!
在这也蹲一波官方的解释