4.22嗶哩嗶哩後台代碼泄露事件
萌娘百科鄭重提醒您:請勿將本條目內任何內容用於您所在地區法律或人道主義精神所禁止的行為。
萌娘百科以及條目編輯者對此不承擔任何責任。
編輯本條目請儘量中立、客觀、慎重,貿然進行無意義的編輯戰或者破壞將導致您受到懲罰,萌娘百科感謝您的理解與合作。
4.22嗶哩嗶哩後台代碼泄露事件 是指2019年4月22日嗶哩嗶哩後台代碼被泄露的事件。
事件簡述
2019年4月22日上午10時左右,一個名為「openbilibili」的GitHub賬戶創建了名為「go-common」的嗶哩嗶哩代碼庫,同時該項目描述為清晰寫着「嗶哩嗶哩 bilibili 網站後台工程 源碼」。源碼於下午16時左右開始迅速傳播,最終在17時20分左右因空間容量使用過度以及B站安全團隊的DMCA請求被GitHub關閉。據猜測,這可能是一名B站前員工為報復B站所作出的行為。
源碼內容
(因條目中不宜展示過多源碼,有意觀看源碼的讀者請查看參考資料[1][2][3])
- 抽獎套路:就算抽獎不成功,也會發送彈幕,讓用戶們感覺有很多人在參加,從而調動用戶們的積極性。[2]
- 會員檢測機制:自動檢測用戶的大會員是花錢買的還是送的。[2]
- 倒號檢測:當號主大規模刪除稿件時,就會觸發B站的檢測機制,這種大規模的刪稿一般是倒號、賣號前的操作。[2]
- 各部分項目詳細的負責人姓名拼音[3]
- 部分用戶名、密碼以及郵箱被硬編碼在代碼內[3]
- 部分不雅、英文拼寫錯誤以及不符合程式設計師邏輯,可能會使運維炸毛的代碼被曝光(比如被命名成rider的庫或者名為FXXK的函數)。[1]
一言不合一句 f**k();
| 被泄露的源碼中的用戶名和密碼 |
|---|
 |
具體過程
 |
| B站官方對此事作出的說明 |
- 2019年4月22日10時左右,一位名為「openbilibili」的GitHub用戶上傳了名為「go-common」的嗶哩嗶哩後台源碼。
- 16時左右,源碼被泄露的消息開始在各類信息發佈平台與即時聊天工具中傳播。此時,該源碼僅不到100條評論、200標星和200多分支。
- 16時30分左右,大量吃瓜群眾湧入,評論、標星和分支開始迅速增長。其中評論約每分鐘增長30條,標星約每分鐘增長50~100人次。期間,由於暴增的流量引發了GitHub故障導致源碼無法下載與分支。GitHub:這誰頂得住啊!
- 17時02分,評論突破1000條。與此同時,標星已有6185條左右。
- 17時20分左右,源碼倉庫因空間容量使用過度被GitHub關閉。
- 17時22分左右,源碼倉庫的下載功能和預覽功能恢復,但分支功能暫時無法使用。
- 17時25分,源碼倉庫因B站安全團隊發出的DMCA刪除申請函永久刪除[4],但是由於申請函中沒有寫明「刪除分支」導致該倉庫的部分分支依然存在。
- 19時45分,B站官方對此事作出回應,確認該部分代碼為較老的歷史版本(側面證實了代碼的來源,並無意中給公關部門造成了更嚴重的後果)並已做好防禦措施,確認此事不會影響到網站安全和用戶數據安全[5] 。但根據原始碼內容中存在的2019拜年祭相關代碼,至少有部分代碼是在2019年初完成的。
影響
直到源碼倉庫被GitHub關閉之前,該源碼已有1200多評論、將近1萬標星和6000多分支。然而即便源碼倉庫已被關閉,部分已經獲得源碼的網友仍在通過各種途徑傳播源碼。
某些原始碼文件涉及「吳織亞切大忽悠」、「狗粉絲」、「播放量作弊」、「黑箱抽獎」等敏感事件及其處理方式等相關內容,讓人開始對之前B站對這些負面行為的不作為態度進行惡意揣測與推定。
B站原始碼暴露其在「節奏風暴抽獎活動」中暗箱操作抽獎成功率問題。上海市消保委已兩度約談了其母公司,但B站方面始終未正面回應。[6]
同時疑似受此事件影響,嗶哩嗶哩(B站)盤前跌3.72%。[7]
很明顯,此事件對嗶哩嗶哩極度不利。
同時,「openbilibili」也被列入b站敏感詞列表。
同時,通過這個事件,我們也了解到了B站後端的工作氛圍。例如在代碼里畫畫、寫詩、畫顏文字、吐槽甚至貼廣告。
另外,受蔡徐坤事件影響,部分蔡徐坤粉絲藉機對號入座表明成功攻破B站,目前此事件的真實原因仍未得知,在最終的調查結果得出之前,不應輕信任何謠言。[來源請求]
事件相關
相關法律
| 民事責任 |
|---|
|
《民法典》第一千一百六十五條第一款規定:「行為人因過錯侵害他人民事權益造成損害的,應當承擔侵權責任。」 侵犯商業秘密可能構成民事侵權。如造成損害並符合侵權行為的其他構成要件,則行為人應當依法承擔相應的民事侵權責任。 |
| 行政責任 |
|---|
|
《反不正當競爭法》第九條規定:「經營者不得實施下列侵犯商業秘密的行為: (一)以盜竊、賄賂、欺詐、脅迫、電子侵入或者其他不正當手段獲取權利人的商業秘密; (二)披露、使用或者允許他人使用以前項手段獲取的權利人的商業秘密; (三)違反保密義務或者違反權利人有關保守商業秘密的要求,披露、使用或者允許他人使用其所掌握的商業秘密; (四)教唆、引誘、幫助他人違反保密義務或者違反權利人有關保守商業秘密的要求,獲取、披露、使用或者允許他人使用權利人的商業秘密。 經營者以外的其他自然人、法人和非法人組織實施前款所列違法行為的,視為侵犯商業秘密。」
|
| 侵犯商業秘密罪 |
|---|
|
根據《中華人民共和國刑法》第二百一十九條規定,侵犯商業秘密罪,是指以盜竊、利誘、脅迫或者其他不正當手段獲取權利人的商業秘密,或者非法披露、使用或者允許他人使用其所掌握的或獲取的商業秘密,給商業秘密的權利人造成重大損失的行為。 《刑法》第二百一十九條規定:「有下列侵犯商業秘密行為之一,給商業秘密的權利人造成重大損失的,處三年以下有期徒刑或者拘役,並處或者單處罰金;造成特別嚴重後果的,處三年以上七年以下有限徒刑,並處罰金: (一)以盜竊、利誘、脅迫或者其他不正當手段獲取權利人們商業秘密的; (二)披露、使用或者允許他人使用以前項手段獲取的權利人的商業秘密的; (三)違反約定或者違反權利人有關保守商業秘密的要求,披露、使用或者允許他人使用其所掌握的商業秘密的。 明知或者應知前款所列行為,獲取、使用或者披露他人的商業秘密的,以侵犯商業秘密罪論處。 本條所稱商業秘密,是指不為公眾所悉,能為權利人帶來經濟利益,具有實用性並經權利人採取保密措施的技術信息和經營信息。 本條所稱權利人,是指商業秘密的所有人和經商業秘密所有人許可的商業秘密使用人。 |
《請刪除大倉代碼》
該源碼倉庫中的第一條評論標題為《請刪除大倉代碼》,內容如下:
| 請刪除大倉代碼 |
|---|
|
懸崖勒馬, 趁着還未擴散之前. 把repo刪了. 一旦被公司法務追究, 找到你. 輕者賠償, 重者入獄. 另外, 以後上了各家公司黑名單, 毀了自己前程. 如果你受到不公平對待, 可以通過恰當的途徑, 恰當的方式表達你的訴求. |
然並卵, 隨後便是一陣複讀機 的 狂歡和吃瓜群眾在線吃瓜,使該評論成為當前源碼倉庫中最熱門話題。
相關回復節選
為滿足部分吃瓜群眾的需求,以下節選了評論#1中網友回復內容。
(注意下文為 UTC-07:00 休斯頓、底特律時間,均為4月22日。)
| 已屏蔽複讀機和吃瓜群眾,請放心閱讀 | ||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
註釋與外部連結
- ↑ 1.0 1.1 Mrxn. B站(bilibili)後端源碼泄露,我們可以從中了解多少信息安全知識和代碼里的有趣信息. Mrxn's Blog. 2019-04-22 [引用時間: 2020-03-16].
- ↑ 2.0 2.1 2.2 2.3 B站後台工程源碼泄露事件以及背後的影響. 源碼時代. 2019-04-25 [引用時間: 2020-03-16].
- ↑ 3.0 3.1 3.2 B站源碼泄露,官方回應內容兩次秒刪!. 黑白網. 2019-04-23 [引用時間: 2020-03-16].
- ↑ https://github.com/github/dmca/blob/master/2019/04/2019-04-23-bilibili.md
- ↑ 嗶哩嗶哩彈幕網. 關於「B站部分工程代碼泄露」事件的說明. 嗶哩嗶哩相簿.
- ↑ 上海市消保委敦促嗶哩嗶哩網站直面問題 誠信對待消費者. 新華社.
- ↑ b站工程源碼怎麼泄露的有何影響 bilibili泄露曝光了什麼內容?. 深圳熱線.