9月2日,有自**人發表《阿里雲被爆重大安全漏洞全部機器許可權全部使用者資料或已洩露》文章,聲稱「通過此bug,客戶(或黑客)進入阿里雲內部網路即可獲取阿里雲所有使用者資料+許可權。包括客戶的關聯賬戶,客戶資料,伺服器許可權等。這意味著,阿里雲全部機器許可權、全部使用者資料可能已洩露。」
對此,阿里雲嚴正宣告:
1、這一資訊不屬實,經確認,文中截圖是阿里云云市場**商管理系統,方便**商查閱自己名下客戶id和手機。由於該系統**呼叫異常,觸發個別阿里雲**商的介面異常,不僅看到了自己的客戶,也看到了部分其他客戶的姓名和**,但無法獲取「伺服器許可權」,也不存在雲盾被注入盜取密碼問題。
2、我們已在第一時間處理修復問題,進一步排查後未發現更多異常。
3、對於該不實資訊傳播,我們將依法追究相關法律責任。
編者按:
此外,針對9月1日雲盾安騎士產品公升級觸發bug導致使用者ecs裡部分正常檔案被誤隔離一事,阿里云云盾負責人吳翰清特別撰文闡述事件真相。並向受影響的使用者誠摯道歉。
阿里云云盾負責人吳翰清致雲盾使用者的一封信
危機時刻,我只心疼我們的客戶在9月1日,我經歷了非常難忘的一天。阿里云云盾的安騎士產品公升級觸發bug導致了使用者ecs裡的部分正常檔案被誤隔離。故障恢復期間,不斷有朋友問我,阿里雲所有客服也都忙於處理這個問題。而我,是雲盾的負責人。
這次的故障是由於工程師粗心大意寫錯了一行**,從而將所有新啟動的可執行檔案都當成了惡意檔案進行隔離。由於我們之前在設計上的缺失,對這一特殊的異常情況缺乏快速恢復的機制,只能臨時寫程式進行緊急恢復,因此整個故障持續了較長的時間。在此首先向所有遭遇這次故障的客戶表示深深的歉意。但請不用擔心的是,這次故障不會造成任何資料丟失,更不會如某些謠言所說會造成資料洩露。
這次故障也暴露出了我們在研發流程上的一些問題,我們會深刻反思和改進,在此不再贅述。對於寫出這行**的工程師,我相信他已經得到了深刻的教訓。而我也將為整個事件承擔該有的管理責任。
但這些都無法挽回我們客戶的損失。在微博上看到客戶的吐槽,充滿了憤怒和無奈,作為當事人的我,心情是極其複雜的。隨後的謠言四起,加上有心人推波助瀾,讓我無法再保持沉默,我來直面這些疑問。
很多人的疑問在於阿里雲身為雲計算服務商,為什麼可以刪除客戶伺服器裡的檔案?這讓很多客戶產生了一種對雲計算的不信任感。
要回答這個問題,就必須先從aws的安全共擔模式,和阿里雲的保姆模式說起。
實際上,aws作為業界雲計算的標桿,在客戶安全的態度上採取的是一種共擔模式,即aws只對它作為雲計算平台本身的安全負責,而選擇把客戶的安全交給第三方安全廠商,所以在aws的marketplace裡,賣的最好的也是安全產品。
而阿里雲在成立的第一天起,就認為安全是雲計算最重要的事情。同時,我們也看到中國的it行業,和美國的it行業有著非常大的區別。在美國,idc裡有著各種成熟的it解決方案以及商業化產品,美國的企業安全市場付費能力也非常的強,因此美國的安全市場已經相對比較成熟了。
而在中國,大量的中小企業客戶實際上處於乙個裸奔狀態,他們的安全需求往往得不到滿足。在這樣的市場環境下,為了更好的培育雲計算市場,讓客戶能夠把更多的精力聚焦在自己的業務上,我們在雲計算解決方案裡整合了自主研發的安全產品,希望能夠將阿里多年在安全技術上積累的經驗,分享給所有阿里雲的客戶,這就是雲盾的一系列產品。
因此安全對於阿里雲來說很重要,我們希望客戶在使用阿里雲時,能夠盡可能少的擔憂安全問題。基礎攻防類的安全需求,都可以通過雲盾解決掉。這就是阿里雲安全的保姆模式,我們幫客戶做了更多的事情。
在雲盾之外,我們也借鑑了aws的思路,會廣泛邀請安全廠商和開發者為雲上的客戶提供服務。比如在vpc閘道器後通過sdn技術串接虛擬網路裝置的位置,我們就是開放給安全廠商的。
雲盾是阿里雲的乙個安全品牌,是一系列安全產品的組合。比如防禦了453.8gbps的ddos攻擊的ddos高防ip產品是其中之一,即將推出的彈性安全網路產品是乙個新的基礎網路安全產品,還有已經在公測的「態勢感知」產品,可以幫助客戶做安全資料分析,讓安全決策變得簡單;這次造成故障的安騎士產品是希望解決所有伺服器的安全問題。
安騎士產品的主要功能,是提供高危漏洞修復、防伺服器密碼破解和木馬檔案查殺。預裝在阿里雲的每乙個ecs裡,因為我們希望售賣的每一台ecs都是安全的。如果客戶不想使用雲盾安騎士服務,可以按照官方的指導說明來進行解除安裝。
安騎士是免費服務,這些年發揮了很好的作用。比如在2023年10月,wdcp出現了嚴重的安全漏洞,黑客可通過此漏洞新增管理帳號,並登入wdcp管理後台。當時阿里雲上有上千臺安裝wdcp的ecs受此漏洞影響,並有部分機器已經被黑客植入了名為gates的ddos木馬。當時安騎士在第一時間新增了漏洞修復規則和gates木馬查殺特徵,在1天內完成了所有受影響ecs的漏洞修復和木馬清理。
現在,通過安騎士防暴力破解功能的協同防禦機制,每一天都會攔截超過5億次的暴力破解攻擊。我們在今年上半年做過一次測試,在某雲平台購買的一台機器開放ssh到公網後,統計了一周有82703次ssh登入失敗的記錄(暴力破解攻擊),而在雲盾安騎士的保護下,阿里雲的一台測試機器只有72次ssh登入失敗記錄。
網際網路的不安全,超出你的想象。
但我對目前的產品現狀仍然有很多不滿意的地方。我一直在團隊內部倡導和強調的文化是「透明」。我希望每個人的工作都能透明出來,所以我們會在牆上貼出雲盾看板,透明出每個團隊做的工作和進度,讓所有路過的人能夠看到;我希望我們的產品能夠變得更加的透明一些,把產品做的所有事情透明給使用者,特別是一些需要使用者授權和允許的操作。
在這一點上,過去做的不夠好,我們正在努力改變。這次安騎士誤隔離使用者的正常檔案所涉及的功能,在設計上是乙個使用者可選的功能,但卻因為bug配置上了其他使用者,這也是乙個非常嚴重的失誤。
在這次故障恢復後,阿里雲已經立即啟動了百倍時間賠償的計畫。但是我認為這也是遠遠不夠的,雲盾應該再多做一些事情。
所以我今天做出了以下決策:
1.對於本次故障受到影響的客戶,我們會贈予一批雲盾付費產品,包括:彈性安全網路、態勢感知、安騎士雲託管。我們會在近期擬定方案並開通服務,客戶也可以選擇不使用。
2.安騎士將盡快提供方便快捷的一鍵關閉功能。
3.我們會給受影響的客戶寫一封手寫的道歉信。
4.對於影響較大的客戶,我們會即刻出發登門拜訪負荊請罪,直面你的怒火和建議。
以上這些,希望能夠幫助我們的客戶帶來更好的安全感受。對於選擇離去的客戶,我們會全力配合做好遷移工作,並誠摯的希望有一天你們會再回來。對於願意選擇繼續相信我們的客戶,我們會懷抱著最大的感恩之心,與你們共同成長。
做雲計算難免故障,在危機時刻,我只心疼我們的客戶。
谷歌解讀雲計算 使用者資料很安全
8月29日訊息,據國外 報道,谷歌公司僱傭了450名全職工程師來阻止黑客和其他 者入侵他們的資料中心和雲服務端。現在,谷歌發表了乙份工作報告,詳述了其如何妥當地處理這些問題。這份最新的報告解釋了谷歌的雲計算服務是如何運作的以及為何它們是安全的。例如,谷歌的雲端利用了 完美前向安全 這是一種利用了旨在...
A 站慘遭黑客攻擊,近千萬條使用者資料洩露
事情發生後,a 站出面解釋道,在2017年7月7日之後一直未登入過acfun,密碼加密強度不是最高端別,賬號存在一定的安全風險,懇請盡快修改密碼。如果在其他 使用同一密碼,也請及時修改。具體內容如下 對於此次攻擊事件,a 站表示是自己安全防護做的不夠到位,並向使用者道歉。同時表示,接下來他們會採取一...
A 站慘遭黑客攻擊,近千萬條使用者資料洩露
開發四年只會寫業務 分布式高併發都不會還做程式設計師?事情發生後,a 站出面解釋道,在2017年7月7日之後一直未登入過acfun,密碼加密強度不是最高端別,賬號存在一定的安全風險,懇請盡快修改密碼。如果在其他 使用同一密碼,也請及時修改。具體內容如下 對於此次攻擊事件,a 站表示是自己安全防護做的...