近几天,云协作平台服务商wolai公司创始人马锐拉在微博点名提醒友商蓝湖,产品存在用户数据安全隐患与产品合规问题。
文章源自加分广告-https://www.jiafenpr.com/944.html
马锐拉给出的依据是,他怀疑蓝湖的产品没有加入后台对于上传图片的AI审核机制,再加上可以完全公开访问和引用图片地址,一旦被滥用,后果会非常严重。文章源自加分广告-https://www.jiafenpr.com/944.html
值得注意的是,就在不久前,蓝湖公开宣布完成了C+ 轮融,融资额超过10亿元。宣布融资的同时,蓝湖还宣布推出一款名为MasterGo的产品,并向个人用户永久免费。文章源自加分广告-https://www.jiafenpr.com/944.html
文章源自加分广告-https://www.jiafenpr.com/944.html
一开始,长庚君是以吃瓜群众看热闹的心态来看这封公开信。毕竟这么多年了,友商之间相爱相杀的剧本已经看过太多,就像当年的优酷和土豆;58同城和赶集,滴滴和快的,虽然有过互相嫌弃的日子,但最终还是走在了一起。文章源自加分广告-https://www.jiafenpr.com/944.html
不过,仔细读完马锐拉的这封公开信后,感觉这事儿并非友商之间爆发口水战那么简单。文章源自加分广告-https://www.jiafenpr.com/944.html
比如马锐拉在使用蓝湖超级文档这款产品时,上传的一张图片并没有公开,但是却暴露在公网上,任何人都能获得这张照片。文章源自加分广告-https://www.jiafenpr.com/944.html
再比如,马锐拉还尝试上传了一张“非法”图片,结果发现过了几天后图片依然可以公开访问。文章源自加分广告-https://www.jiafenpr.com/944.html
如果用户将隐私图片上传到超级文档中,马锐拉认为,这种完全公开访问和引用图片的机制,一旦被滥用,后果会非常严重。文章源自加分广告-https://www.jiafenpr.com/944.html
看完马锐拉的公开信,长庚君认为,如果里面的内容属实,那么蓝湖可真需要长点心了,不然失去用户信任后,再挽回可就难了。文章源自加分广告-https://www.jiafenpr.com/944.html
出现云安全问题会造成多严重的后果呢?
公开信息显示,去年9月,华纳媒体集团 (WMG) 宣布自己成为为期三个月的 Magecart 数据收集攻击的受害者。黑客将华纳的用户个人信息(姓名、电子邮件地址、电话号码、账单和送货地址)和信用卡信息(卡号、CVC、到期日期)泄露到网站。
在事件发生后对 WMG 提起的集体诉讼中,原告写道: “这一违规行为持续了三个多月而未被发现,这表明华纳媒体集团涉嫌缺乏保护其客户的安全。” WMG 从惨痛的教训中吸取的教训是,下一代监控系统会更快地检测到问题,甚至可以先发制人。
另外,今年年初曾经火爆一时的Clubhouse也曾遭遇过云安全问题。当时一个包含130万Clubhouse用户记录的SQL数据库在一个人气黑客论坛上被免费泄露。泄露的数据库包含了Clubhouse档案中的各种用户相关信息,包括用户ID、名字、照片URL、用户名、Twitter、Instagram处理、关注者的数量、被关注的用户数量、帐号创建日期。
试想一下,当一个用户把需要保密的公司文档上传到云笔记上后,却发现这些文档几乎没有加密,所有人都可以公开查阅,这会造成多大的困扰。又或者当一个用户把需要私密保存的家庭照片上传到云上后,却发现人人可见,这又会对当事人造成多大的麻烦。
有安全专家指出,漏洞是云网络安全和云安全管理不良的结果,云服务商应该举一反三,不要被同一个问题绊倒两次。
长庚君觉得,针对马锐拉提出的云服务安全问题,无论是否存在,蓝湖还是应该公开回应一下的,如果这些漏洞存在,就应该立刻修复,如果不存在,也应该详细阐述明白蓝湖做了哪些工作来保障云安全,让用户安心。不过遗憾的是,目前为止,马锐拉的公开信已经发出2天,蓝湖却没有任何回应。最重要的是,马锐拉上传的图片,也依然可以浏览并保存到个人电脑中。
公开信最后,马锐拉不仅提出了问题,还从技术角度向蓝湖提出了解决建议。
他在公开信里面说,蓝湖的超级文档目前仅仅实现了块编辑器的一些基础功能,且整个编辑器是基于开源项目 editor.js二次开发的,而文档目录树则是疑似魔改了旧版本 ant.design 的 tree 组件。
马锐拉说,wolai在2019年初做技术选型时,首先就淘汰了在开源块编辑器基础上做二次开发的方案,第一个被否决的正是tree 组件。他建议,蓝湖超级文档想要做好必须向wolai学习,从0到1自研一款超越开源项目的块编辑器,对标世界上最好的产品所达到的高度。
友商的创始人发公开信教自己如何做产品,如果我是蓝湖的产品负责人恐怕会相当憋屈。但是长庚君觉得,在蓝湖没有进一步回应前,似乎马锐拉的这些质疑又说的相当有道理。
尤其是马锐拉在公开信中说的那句“做文档编辑器和云端协作平台是一件需要敬畏的事。”中国科技公司里面做产品的人多如牛毛,但是懂得敬畏和克制的人却不多。
马锐拉的这封公开信有没有炒作嫌疑呢?这是个仁者见仁智者见智的问题。但他在公开信中最后说,wolai愿意将自己踩过的坑,解决的问题倾囊相授给蓝湖团队,希望蓝湖早日成为一个可以上线的合格的产品。
长庚君认为,虽然马锐拉这种自封师长的语气有点居高临下,但如果真能做到说的这些,对整个行业都是一件好事。用户最需要的是能够安全的放在云上的在线产品。如果竞争对手之间能够坦诚交流、分享经验,是整个行业之幸。
