P0 级故障通报:大家好,向大家通报一起 P0 级事故,今天凌晨在升级鉴权系统期间,出现了严重的鉴权漏洞,导致任意用户都可以看到所有用户已创建的 Api Key,下面是时间线:
受影响用户:api.nextweb.fun v2 所有用户
07-31 02:33:42 产生鉴权漏洞的代码被推送到仓库
07-31 02:35:23 漏洞代码被自动部署到生产环境
07-31 02:38:13 后台持续收到 500 报警
07-31 02:40:45 修复代码被推送到仓库
07-31 02:41:58 修复代码被自动部署到生产环境
07-31 02:44:30 线上产生第一次 exportKeys 请求
07-31 02:47:00 收到用户反馈 bug
07-31 02:48:13 线上产生第二次 exportKeys 请求
07-31 02:48:43 最后一次线上 500 告警,表示修复代码已经生效
07-31 02:55:00 排查 log 记录,发现了前述两次 exportKeys 记录,确定存在泄露风险
07-31 03:10:14 确...