AList的暴雷事件

威震华夏关云长

AList的暴雷事件

10 号就开始流传出 AList 不再安全的消息，11 号确认是原作者把项目卖给了国内的一个草包公司，已经在计划收集用户信息了，而且在 AList 里填写过网盘账号密码、token 的话也不再安全了。恶心程度简直跟最新版本的minio一毛一样，后面我会补一个帖子说这个

AList的暴雷事件

AList的暴雷事件

回到正文

事情原因

AList 是个开源软件，在 GitHub 上有接近 5 万 Star。它可以把许多网盘里的文件以及本地文件聚合在一起，通过网站在线访问。默认样式如下：

AList的暴雷事件

Alist 已经被原开发者出售给了“贵州不够科技”公司，而且原作者一直没放出消息，4 月份卖的，直到这两天才爆出消息。可能是怕提前通知用户的话会导致大批用户流失，影响卖出的价格。

“贵州不够科技”是个小小公司，实在不能令人放心。而且最近还在招聘渗透相关人员🤔

为什么会被冲

该项目的 issues 已经被冲了，不过基本都被 close 了：

https://github.com/AlistGo/alist/issues?q=is%3Aissue%20state%3Aclosed

有些理客中还在为原作者辩护，说开源项目你们都是白嫖的，作者想卖就卖，关你们什么事？

我不这么认为，虽然我确实是白嫖的，但该作者最大的问题在于没有提前发布通知，一直到压不住了才承认。

如果提前通知，用户想要更换到其他类似软件的话会有充裕的时间，而不是被打个措手不及。现在已经被卖了一个多月了，用户的数据安全已经受到了影响。

而且这对于项目的其他贡献者也不公平，作者一声不吭的把项目卖钱了，其他贡献者已经被大家称为黑奴了。就算不可能给每个人分钱，但提前的通知和感谢是否应该做一下呢？现在已经有贡献者要求删除其贡献的代码：

请 【贵司】 删除我的代码, 好几个周末不是给你们投毒的

This issue has been deleted. 太尖锐了。

作者的小心思很明显，没什么好护的。

而且现在舆论发酵之后，作者和公司也一直没有发布公告，只是把提问的 issue 关闭做冷处理。

有什么影响

目前作者自己的域名 alist.nn.ci 已经换成了 alistgo.com，这影响到了文档地址、安装地址、API 地址、docker 地址。

截止 v3.45.0 版本的源代码是安全的，但在线的 OAuth API 已经不再安全。

在后台的“设置”-“站点”里可以看到版本号：

AList的暴雷事件

隐私泄露的问题

已经确定以后的 AList 会收集用户的操作系统配置信息，至于会不会收集更多信息，以及投放广告、甚至用来做点坏事，我只能说在路上了，永远不要相信这些小公司会有下限这种东西。

不过这个还算是小问题，更严重的是账号信息有泄露的风险。

账号密码泄露的问题

这分为 3 种情况：

• 如果你分享的是本地文件，不涉及网盘的账号密码，那么就没有这方面的问题。
• 如果你分享的网盘需要填写账号密码，那么问题的关键在于账号密码是否有被收集，目前还没有这种行为，但最好是取消分享并修改密码。
• 如果使用了原作者的闭源 API 来获取 token，应该取消对此 API 的授权。
  

OneDrive 账号的泄露风险
token 可能会泄露

虽然 AList 是开源项目，但有些获取 token 的 API 是闭源的，比如 OneDrive 需要通过原作者的一个网页来获取刷新令牌：

AList的暴雷事件

使用上面的这几条数据就可以访问我的 OneDrive 里的所有文件。

其过程是原作者创建了个名为 alist 的应用，然后我们授权这个应用访问我们的 OneDrive 数据。不授权的话当然就没法在 AList 这个第三方应用里挂载 OneDrive。

问题是这些 API 是闭源的，我们不知道作者是否有偷偷保留这些数据。之前只能说是有出于对开源项目的信任吧，但现在项目已经被卖了，而且这个 API 的域名也已经换成公司注册的新域名了，谁敢用公司的底线去考验自己的账号安全？

如何取消授权

如果你分享的 OneDrive 账号里有私密文件，应该考虑取消授权。

我之前分享过我的个人 OneDrive 账号，虽然我只分享了可以公开的文件夹，但其实所有文件都是可以用上面的 token 访问的。里面有我的个人文件，这下真是呃呃了，只好赶紧去删除 token。

至于我分享的企业版，由于只是单纯用来存放资源，不涉及私密文件，所以我目前没有删除 token。

个人版

https://account.live.com/consent/Manage

在“你已授予访问权限的应用和服务”的页面里，取消对 alist 的授权。

企业版

https://portal.azure.com/#home

在 Azuer 的“管理 Microsoft Entra ID”页面里找到“企业应用程序”：

删除 alist 以取消对它的授权。

开源版本

现在有一些新的 fork 版本，比如 OpenList：

https://github.com/OpenListTeam/OpenList

该版本移除了公司的网址链接，未来也肯定会注重保护隐私安全，但目前还未开发完成。

版权声明

1、转载或引用本网站内容(AList的暴雷事件)须注明原网址及作者(威震华夏关云长)，并标明本网站网址(https://www.pixtech.cc/)。

2、对于不当转载或引用本网站内容而引起的民事纷争、行政处理或其他损失，本网站不承担责任。

3、对不遵守本声明或其他违法、恶意使用本网站内容者，本网站保留追究其法律责任的权利。

本文地址: https://www.pixtech.cc/thread-2125-1-1.html