阿里云盘「灾难级Bug」_大数跨境｜跨境从业者专属的媒体平台

9月14日，阿里云盘被爆出一个“非常严重的漏洞”。有用户无意中发现，在阿里云盘的相册功能里，只需创建一个文件夹并选择分类图片，就能看到其他用户云盘中的图片。

之后，阿里云盘意识到了问题的严重性，紧急进行修复。一些网友进行了测试，虽然仍然能刷出其他用户的图片，但已经无法预览，看来阿里云盘做了临时拦截措施，防止问题进一步扩散。

我觉得很可能是因为数据管理和权限控制出了问题，特别是审计工具没配置好。在云存储服务中，为了提升性能，文件通常会依赖索引和查询机制，比如按时间排序等，这些都是基于这种原理。当新建相册时，可能涉及大量数据的检索、分类和索引，这个过程中可能出了问题。

通常这些操作应该只限于某个用户的账号，但如果权限控制没做好，可能会导致系统错误地检索和索引到其他人的相册。这归根到底是权限管理不到位。以前没出现过这种情况，我猜是最近的某次更新或升级引发了问题。

另一个问题是数据缓存，云存储和电脑内存类似，为了加快响应速度，也会使用缓存机制。理论上每个用户应该有独立的缓存区域，但如果缓存分配错误，导致多个用户共用一个缓存区域，那本来不属于这个区域的数据就可能被错误地加载，造成数据泄露。这其实还是权限问题。

另外，阿里经常向社会输送优秀人才，这些人才在项目组中可能是核心成员，但频繁的人员更换可能影响团队效率，就像一台运行良好的机器换了几个关键零件一样。现在阿里有国资背景，不知道是不是有国资的人才进驻了，出现了外行人指导内行人的情况。

最后提醒大家，不要对任何网盘或网络相册过于信任。默认情况下，上传的照片可能被任何人看到，可能会被随机删除，甚至有时会发生数据无法下载的情况。所以不要把网盘作为唯一的备份方式，最好定期做增量备份，多备份几份，比如手机、家用电脑和移动硬盘等。特别是私密的照片，不建议上传，因为有被删除或泄露的风险。

私密数据保存在本地都不保险（比如陈老师），更别谈上传到网上了。