知情人士介绍,上海当局已就公安数据泄露案约谈阿里云,与会者包括上月新入职负责数字政府部公安业务线的陈雪松。
据职员介绍,阿里和阿里云的高管7月1日即线上开会讨论应急处置,停止了对涉事数据库的所有访问并开始检查代码,尚未确定泄露原因;同时也正联系政府部门、金融机构等其他专用私有云客户,排查其数据库架构和配置。
信安平台LeakIX表示,涉事数据库面板使用了Elasticsearch多年前的旧版本,当时需要额外安装X-Pack扩展才会有密码保护等安全功能。在阿里云上另扫描到13座数字证书相同(于2018年9月过期)的数据库,都是将面板暴露在公网、使用着上述无安全防护的旧版软件,其中两座规模分别超60TB和92TB,甚至大过此次被兜售的23TB。
(华尔街日报)
