4.22哔哩哔哩后台代码泄露事件
萌娘百科郑重提醒您:请勿将本条目内任何内容用于您所在地区法律或人道主义精神所禁止的行为。
萌娘百科以及条目编辑者对此不承担任何责任。
编辑本条目请尽量中立、客观、慎重,贸然进行无意义的编辑战或者破坏将导致您受到惩罚,萌娘百科感谢您的理解与合作。
4.22哔哩哔哩后台代码泄露事件 是指2019年4月22日哔哩哔哩后台代码被泄露的事件。
事件简述
2019年4月22日上午10时左右,一个名为“openbilibili”的GitHub账户创建了名为“go-common”的哔哩哔哩代码库,同时该项目描述为清晰写着“哔哩哔哩 bilibili 网站后台工程 源码”。源码于下午16时左右开始迅速传播,最终在17时20分左右因空间容量使用过度以及B站安全团队的DMCA请求被GitHub关闭。据猜测,这可能是一名B站前员工为报复B站所作出的行为。
源码内容
(因条目中不宜展示过多源码,有意观看源码的读者请查看参考资料[1][2][3])
- 抽奖套路:就算抽奖不成功,也会发送弹幕,让用户们感觉有很多人在参加,从而调动用户们的积极性。[2]
- 会员检测机制:自动检测用户的大会员是花钱买的还是送的。[2]
- 倒号检测:当号主大规模删除稿件时,就会触发B站的检测机制,这种大规模的删稿一般是倒号、卖号前的操作。[2]
- 各部分项目详细的负责人姓名拼音[3]
- 部分用户名、密码以及邮箱被硬编码在代码内[3]
- 部分不雅、英文拼写错误以及不符合程序员逻辑,可能会使运维炸毛的代码被曝光(比如被命名成rider的库或者名为FXXK的函数)。[1]
一言不合一句 f**k();
| 被泄露的源码中的用户名和密码 |
|---|
 |
具体过程
 |
| B站官方对此事作出的说明 |
- 2019年4月22日10时左右,一位名为“openbilibili”的GitHub用户上传了名为“go-common”的哔哩哔哩后台源码。
- 16时左右,源码被泄露的消息开始在各类信息发布平台与即时聊天工具中传播。此时,该源码仅不到100条评论、200标星和200多分支。
- 16时30分左右,大量吃瓜群众涌入,评论、标星和分支开始迅速增长。其中评论约每分钟增长30条,标星约每分钟增长50~100人次。期间,由于暴增的流量引发了GitHub故障导致源码无法下载与分支。GitHub:这谁顶得住啊!
- 17时02分,评论突破1000条。与此同时,标星已有6185条左右。
- 17时20分左右,源码仓库因空间容量使用过度被GitHub关闭。
- 17时22分左右,源码仓库的下载功能和预览功能恢复,但分支功能暂时无法使用。
- 17时25分,源码仓库因B站安全团队发出的DMCA删除申请函永久删除[4],但是由于申请函中没有写明“删除分支”导致该仓库的部分分支依然存在。
- 19时45分,B站官方对此事作出回应,确认该部分代码为较老的历史版本(侧面证实了代码的来源,并无意中给公关部门造成了更严重的后果)并已做好防御措施,确认此事不会影响到网站安全和用户数据安全[5] 。但根据源代码内容中存在的2019拜年祭相关代码,至少有部分代码是在2019年初完成的。
影响
直到源码仓库被GitHub关闭之前,该源码已有1200多评论、将近1万标星和6000多分支。然而即便源码仓库已被关闭,部分已经获得源码的网友仍在通过各种途径传播源码。
某些源代码文件涉及“吴织亚切大忽悠”、“狗粉丝”、“播放量作弊”、“黑箱抽奖”等敏感事件及其处理方式等相关内容,让人开始对之前B站对这些负面行为的不作为态度进行恶意揣测与推定。
B站源代码暴露其在“节奏风暴抽奖活动”中暗箱操作抽奖成功率问题。上海市消保委已两度约谈了其母公司,但B站方面始终未正面回应。[6]
同时疑似受此事件影响,哔哩哔哩(B站)盘前跌3.72%。[7]
很明显,此事件对哔哩哔哩极度不利。
同时,“openbilibili”也被列入b站敏感词列表。
同时,通过这个事件,我们也了解到了B站后端的工作氛围。例如在代码里画画、写诗、画颜文字、吐槽甚至贴广告。
另外,受蔡徐坤事件影响,部分蔡徐坤粉丝借机对号入座表明成功攻破B站,目前此事件的真实原因仍未得知,在最终的调查结果得出之前,不应轻信任何谣言。[来源请求]
事件相关
相关法律
| 民事责任 |
|---|
|
《民法典》第一千一百六十五条第一款规定:“行为人因过错侵害他人民事权益造成损害的,应当承担侵权责任。” 侵犯商业秘密可能构成民事侵权。如造成损害并符合侵权行为的其他构成要件,则行为人应当依法承担相应的民事侵权责任。 |
| 行政责任 |
|---|
|
《反不正当竞争法》第九条规定:“经营者不得实施下列侵犯商业秘密的行为: (一)以盗窃、贿赂、欺诈、胁迫、电子侵入或者其他不正当手段获取权利人的商业秘密; (二)披露、使用或者允许他人使用以前项手段获取的权利人的商业秘密; (三)违反保密义务或者违反权利人有关保守商业秘密的要求,披露、使用或者允许他人使用其所掌握的商业秘密; (四)教唆、引诱、帮助他人违反保密义务或者违反权利人有关保守商业秘密的要求,获取、披露、使用或者允许他人使用权利人的商业秘密。 经营者以外的其他自然人、法人和非法人组织实施前款所列违法行为的,视为侵犯商业秘密。”
|
| 侵犯商业秘密罪 |
|---|
|
根据《中华人民共和国刑法》第二百一十九条规定,侵犯商业秘密罪,是指以盗窃、利诱、胁迫或者其他不正当手段获取权利人的商业秘密,或者非法披露、使用或者允许他人使用其所掌握的或获取的商业秘密,给商业秘密的权利人造成重大损失的行为。 《刑法》第二百一十九条规定:“有下列侵犯商业秘密行为之一,给商业秘密的权利人造成重大损失的,处三年以下有期徒刑或者拘役,并处或者单处罚金;造成特别严重后果的,处三年以上七年以下有限徒刑,并处罚金: (一)以盗窃、利诱、胁迫或者其他不正当手段获取权利人们商业秘密的; (二)披露、使用或者允许他人使用以前项手段获取的权利人的商业秘密的; (三)违反约定或者违反权利人有关保守商业秘密的要求,披露、使用或者允许他人使用其所掌握的商业秘密的。 明知或者应知前款所列行为,获取、使用或者披露他人的商业秘密的,以侵犯商业秘密罪论处。 本条所称商业秘密,是指不为公众所悉,能为权利人带来经济利益,具有实用性并经权利人采取保密措施的技术信息和经营信息。 本条所称权利人,是指商业秘密的所有人和经商业秘密所有人许可的商业秘密使用人。 |
《请删除大仓代码》
该源码仓库中的第一条评论标题为《请删除大仓代码》,内容如下:
| 请删除大仓代码 |
|---|
|
悬崖勒马, 趁着还未扩散之前. 把repo删了. 一旦被公司法务追究, 找到你. 轻者赔偿, 重者入狱. 另外, 以后上了各家公司黑名单, 毁了自己前程. 如果你受到不公平对待, 可以通过恰当的途径, 恰当的方式表达你的诉求. |
然并卵, 随后便是一阵复读机 的 狂欢和吃瓜群众在线吃瓜,使该评论成为当前源码仓库中最热门话题。
相关回复节选
为满足部分吃瓜群众的需求,以下节选了评论#1中网友回复内容。
(注意下文为 UTC-07:00 休斯顿、底特律时间,均为4月22日。)
| 已屏蔽复读机和吃瓜群众,请放心阅读 | ||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
注释与外部链接
- ↑ 1.0 1.1 Mrxn. B站(bilibili)后端源码泄露,我们可以从中了解多少信息安全知识和代码里的有趣信息. Mrxn's Blog. 2019-04-22 [引用时间: 2020-03-16].
- ↑ 2.0 2.1 2.2 2.3 B站后台工程源码泄露事件以及背后的影响. 源码时代. 2019-04-25 [引用时间: 2020-03-16].
- ↑ 3.0 3.1 3.2 B站源码泄露,官方回应内容两次秒删!. 黑白网. 2019-04-23 [引用时间: 2020-03-16].
- ↑ https://github.com/github/dmca/blob/master/2019/04/2019-04-23-bilibili.md
- ↑ 哔哩哔哩弹幕网. 关于“B站部分工程代码泄露”事件的说明. 哔哩哔哩相簿.
- ↑ 上海市消保委敦促哔哩哔哩网站直面问题 诚信对待消费者. 新华社.
- ↑ b站工程源码怎么泄露的有何影响 bilibili泄露曝光了什么内容?. 深圳热线.