近几天,云协作平台服务商wolai公司创始人马锐拉在微博点名提醒友商蓝湖,产品存在用户数据安全隐患与产品合规问题。
马锐拉给出的依据是,他怀疑蓝湖的产品没有加入后台对于上传图片的AI审核机制,再加上可以完全公开访问和引用图片地址,一旦被滥用,后果会非常严重。
值得注意的是,就在不久前,蓝湖公开宣布完成了C+ 轮融,融资额超过10亿元。宣布融资的同时,蓝湖还宣布推出一款名为MasterGo的产品,并向个人用户永久免费。
一开始,长庚君是以吃瓜群众看热闹的心态来看这封公开信。毕竟这么多年了,友商之间相爱相杀的剧本已经看过太多,就像当年的优酷和土豆;58同城和赶集,滴滴和快的,虽然有过互相嫌弃的日子,但最终还是走在了一起。
不过,仔细读完马锐拉的这封公开信后,感觉这事儿并非友商之间爆发口水战那么简单。
比如马锐拉在使用蓝湖超级文档这款产品时,上传的一张图片并没有公开,但是却暴露在公网上,任何人都能获得这张照片。
再比如,马锐拉还尝试上传了一张“非法”图片,结果发现过了几天后图片依然可以公开访问。
如果用户将隐私图片上传到超级文档中,马锐拉认为,这种完全公开访问和引用图片的机制,一旦被滥用,后果会非常严重。
看完马锐拉的公开信,长庚君认为,如果里面的内容属实,那么蓝湖可真需要长点心了,不然失去用户信任后,再挽回可就难了。
出现云安全问题会造成多严重的后果呢?
公开信息显示,去年9月,华纳媒体集团 (WMG) 宣布自己成为为期三个月的 Magecart 数据收集攻击的受害者。黑客将华纳的用户个人信息(姓名、电子邮件地址、电话号码、账单和送货地址)和信用卡信息(卡号、CVC、到期日期)泄露到网站。
在事件发生后对 WMG 提起的集体诉讼中,原告写道: “这一违规行为持续了三个多月而未被发现,这表明华纳媒体集团涉嫌缺乏保护其客户的安全。” WMG 从惨痛的教训中吸取的教训是,下一代监控系统会更快地检测到问题,甚至可以先发制人。
另外,今年年初曾经火爆一时的Clubhouse也曾遭遇过云安全问题。当时一个包含130万Clubhouse用户记录的SQL数据库在一个人气黑客论坛上被免费泄露。泄露的数据库包含了Clubhouse档案中的各种用户相关信息,包括用户ID、名字、照片URL、用户名、Twitter、Instagram处理、关注者的数量、被关注的用户数量、帐号创建日期。
试想一下,当一个用户把需要保密的公司文档上传到云笔记上后,却发现这些文档几乎没有加密,所有人都可以公开查阅,这会造成多大的困扰。又或者当一个用户把需要私密保存的家庭照片上传到云上后,却发现人人可见,这又会对当事人造成多大的麻烦。
有安全专家指出,漏洞是云网络安全和云安全管理不良的结果,云服务商应该举一反三,不要被同一个问题绊倒两次。
长庚君觉得,针对马锐拉提出的云服务安全问题,无论是否存在,蓝湖还是应该公开回应一下的,如果这些漏洞存在,就应该立刻修复,如果不存在,也应该详细阐述明白蓝湖做了哪些工作来保障云安全,让用户安心。不过遗憾的是,目前为止,马锐拉的公开信已经发出2天,蓝湖却没有任何回应。最重要的是,马锐拉上传的图片,也依然可以浏览并保存到个人电脑中。
公开信最后,马锐拉不仅提出了问题,还从技术角度向蓝湖提出了解决建议。
他在公开信里面说,蓝湖的超级文档目前仅仅实现了块编辑器的一些基础功能,且整个编辑器是基于开源项目 editor.js二次开发的,而文档目录树则是疑似魔改了旧版本 ant.design 的 tree 组件。
马锐拉说,wolai在2019年初做技术选型时,首先就淘汰了在开源块编辑器基础上做二次开发的方案,第一个被否决的正是tree 组件。他建议,蓝湖超级文档想要做好必须向wolai学习,从0到1自研一款超越开源项目的块编辑器,对标世界上最好的产品所达到的高度。
友商的创始人发公开信教自己如何做产品,如果我是蓝湖的产品负责人恐怕会相当憋屈。但是长庚君觉得,在蓝湖没有进一步回应前,似乎马锐拉的这些质疑又说的相当有道理。
尤其是马锐拉在公开信中说的那句“做文档编辑器和云端协作平台是一件需要敬畏的事。”中国科技公司里面做产品的人多如牛毛,但是懂得敬畏和克制的人却不多。
马锐拉的这封公开信有没有炒作嫌疑呢?这是个仁者见仁智者见智的问题。但他在公开信中最后说,wolai愿意将自己踩过的坑,解决的问题倾囊相授给蓝湖团队,希望蓝湖早日成为一个可以上线的合格的产品。
长庚君认为,虽然马锐拉这种自封师长的语气有点居高临下,但如果真能做到说的这些,对整个行业都是一件好事。用户最需要的是能够安全的放在云上的在线产品。如果竞争对手之间能够坦诚交流、分享经验,是整个行业之幸。
免责声明:此文内容为第三方自媒体作者发布的观察或评论性文章,所有文字和图片版权归作者所有,且仅代表作者个人观点,与极客网无关。文章仅供读者参考,并请自行核实相关内容。投诉邮箱:editor@fromgeek.com。
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。