大家一起来探讨一下阿里网盘这次的 Bug 是什么导致的

@hiboshi #16 貌似说不太通。目前看到的复现案例，有多个数据一样的，甚至顺序都一样。
如果是国内 ID 和新加坡 ID 冲突，导致新建的国内相册 ID 碰撞到了新加坡相同 ID 的数据。那就解释不通多个人能碰撞到完全相同的相册了，国内新建相册 ID 不至于都重复吧？

一般的水平越权都是接口级别。比如一个 get 查询接口存在 id 入参，你替换 id 抓包能看到别人的内容。因为后端接口没做鉴权，这是比较常见的问题。
但是上述情况你得抓包才能看见问题，所以非技术人员不知道，舆论影响没那么大。
阿里云盘这个，主要功能越权的同时展现在前端，放在整个互联网行业都是相当低级的错误。除了研发的疏忽，安全工程师没发现这个问题，也得背大锅。

应该 mybatis where 条件匹配拉空了导致越权吧

@arongpm #18 群晖吗？

鉴权参数不健全。怎么三元组(sessionId, userId, AlbumId) 匹配一下吧。毕竟 Album 也会被 shared ，上级部门要追分享过程的路径，也好举证嘛。 这么看来，阿里网盘是通过 Log 埋点串起用户行为的。

所以，大概率是架构设计存在一些安全缺陷。

本质上，阿里云盘介绍页面上说的加密存储是骗人的。既然是加密存储，就算是别人的网盘资料泄露，看到的应该是一堆损坏了的乱码图片。细思极恐

阿里根本不是个科技公司，其实就是个所有中层都之对上负责的税收机构、放贷机构

这个确实离谱，那天晚上我 7 点看到群里有人发聊天记录后试了下能复现，那个聊天记录还是 6 点开头的，整整一个钟都没修复好

@allanzhuo 😂太正常了，越大公司，能形成合力输出 不到 30%，其余 10%在各种低效的会议，60%在搞宫斗

@nyxsonsleep 不是，我买的是 qnap

内部权限配给普通用户

@dream7758522 这个加密指的是落盘加密，哈哈哈

没做鉴权

@l2d #21 其实以前百度网盘也出过，我还自己测试过看看别人存了什么。

假期泡汤+325

接口仔的问题呗，又不代表阿里云核心技术实力

@JoeDH 要看是不是嫡系，嫡系可能就轻拿轻放，非嫡系大概率有不少人要卷铺盖

去企查查，阿里云盘的归属是个第三方公司，也就是说这个产品是外包的，所以各种操作才那么骚。出这种 bug 也见怪不怪了

菜