9 月 14 日晚,网传多条视频和消息显示阿里云盘出现了灾难级 Bug,用户新建空相册时,系统会自动加载其他用户的私密照片!
根据网传截图,该 Bug 主要出现在 PC 端,官方应该很快就发现了该 Bug,并且大概 1 个多小时左右,官方对图片做了临时的拦截处理,虽然仍然能刷出来,但不可预览。
有专业媒体也询问了阿里云盘官方,工作人员回应:“已经收到其他用户反馈此类问题,已经上报相关部门。”
但至于 Bug 为什么出现、影响范围有多大、以及事后的处理结果,目前还不得而知,截止本文发文前,官方尚未有相关通报。
个人认为,这次的事故影响可能比服务器崩掉更严重,因为涉及到用户隐私的泄露,影响范围是不可估量的。想象一下,你把云盘当做备份,把自己的身份证、或者个人私密照片传了上去,结果被很多陌生人看到了,会是什么感受?
根据个人开发经验,应该是查询个人相册数据时少了一些查询条件,比如 userId = xxx。或者是关联查询时,先查询对应 userId 的图片 id,再用图片 id 去查询图片列表;由于是空相册没有图片,所以就没有将图片 id 作为查询列表的限制条件。当然以上只是个人猜测,由于该 Bug 主要出现在 PC 端,还有是前端漏传查询条件导致的,或者不同客户端调用的接口和逻辑规则不同。
但无论是以上哪种猜测,估计都是一个特别低级的 Bug。蹲一手官方的通报,到时候若能送个会员定是极好的。
更多编程学习交流:
简历快速制作:老鱼简历:
✏️ 面试刷题神器:面试鸭: