置顶公告:【置顶】关于临时开启评论区所有功能的公告(2022.10.22) | 【置顶】关于本站Widget恢复使用的公告
  • 你好~!欢迎来到萌娘百科镜像站!如需查看或编辑,请联系本站管理员注册账号。
  • 本镜像站和其他萌娘百科的镜像站无关,请注意分别。

4.22哔哩哔哩后台代码泄露事件

来自萌娘百科
跳到导航 跳到搜索
Law-greendam.png
该条目记述的内容或行为,在现实中可能违反特定国家、地区的刑法,构成犯罪。
萌娘百科郑重提醒您:请勿将本条目内任何内容用于您所在地区法律或人道主义精神所禁止的行为。
萌娘百科以及条目编辑者对此不承担任何责任
Warning.png
该页面包含敏感内容,可能不受到某些人欢迎。为了萌娘百科的良好环境,一切修改请以遵守中立性原则为前提,避免添加不客观内容。
编辑本条目请尽量中立、客观、慎重,贸然进行无意义的编辑战或者破坏将导致您受到惩罚,萌娘百科感谢您的理解与合作。

4.22哔哩哔哩后台代码泄露事件 是指2019年4月22日哔哩哔哩后台代码被泄露的事件。

事件简述

2019年4月22日上午10时左右,一个名为“openbilibili”的GitHub账户创建了名为“go-common”的哔哩哔哩代码库,同时该项目描述为清晰写着“哔哩哔哩 bilibili 网站后台工程 源码”。源码于下午16时左右开始迅速传播,最终在17时20分左右因空间容量使用过度以及B站安全团队的DMCA请求被GitHub关闭。据猜测,这可能是一名B站前员工为报复B站所作出的行为。

源码内容

(因条目中不宜展示过多源码,有意观看源码的读者请查看参考资料[1][2][3]

  • 抽奖套路:就算抽奖不成功,也会发送弹幕,让用户们感觉有很多人在参加,从而调动用户们的积极性。[2]
  • 会员检测机制:自动检测用户的大会员是花钱买的还是送的。[2]
  • 倒号检测:当号主大规模删除稿件时,就会触发B站的检测机制,这种大规模的删稿一般是倒号、卖号前的操作。[2]
  • 各部分项目详细的负责人姓名拼音[3]
  • 部分用户名、密码以及邮箱被硬编码在代码内[3]
  • 部分不雅、英文拼写错误以及不符合程序员逻辑,可能会使运维炸毛的代码被曝光(比如被命名成rider的库或者名为FXXK的函数)[1]
    一言不合一句 f**k();
被泄露的源码中的用户名和密码
B站源码泄露的用户名密码.jpeg

具体过程

https://www.itsource.cn/upload/news/2019-04-25/f454d698-1bd0-4c28-be1e-57375e28695f.jpg
B站官方对此事作出的说明
  • 2019年4月22日10时左右,一位名为“openbilibili”的GitHub用户上传了名为“go-common”的哔哩哔哩后台源码。
    • 16时左右,源码被泄露的消息开始在各类信息发布平台与即时聊天工具中传播。此时,该源码仅不到100条评论、200标星和200多分支。
    • 16时30分左右,大量吃瓜群众涌入,评论、标星和分支开始迅速增长。其中评论约每分钟增长30条,标星约每分钟增长50~100人次。期间,由于暴增的流量引发了GitHub故障导致源码无法下载与分支。GitHub:这谁顶得住啊
    • 17时02分,评论突破1000条。与此同时,标星已有6185条左右。
    • 17时20分左右,源码仓库因空间容量使用过度被GitHub关闭。
    • 17时22分左右,源码仓库的下载功能和预览功能恢复,但分支功能暂时无法使用。
    • 17时25分,源码仓库因B站安全团队发出的DMCA删除申请函永久删除[4]但是由于申请函中没有写明“删除分支”导致该仓库的部分分支依然存在。
    • 19时45分,B站官方对此事作出回应,确认该部分代码为较老的历史版本(侧面证实了代码的来源,并无意中给公关部门造成了更严重的后果)并已做好防御措施,确认此事不会影响到网站安全和用户数据安全[5]但根据源代码内容中存在的2019拜年祭相关代码,至少有部分代码是在2019年初完成的。

影响

直到源码仓库被GitHub关闭之前,该源码已有1200多评论、将近1万标星和6000多分支。然而即便源码仓库已被关闭,部分已经获得源码的网友仍在通过各种途径传播源码。

某些源代码文件涉及“吴织亚切大忽悠”、“狗粉丝”、“播放量作弊”、“黑箱抽奖”等敏感事件及其处理方式等相关内容,让人开始对之前B站对这些负面行为的不作为态度进行恶意揣测与推定。

B站源代码暴露其在“节奏风暴抽奖活动”中暗箱操作抽奖成功率问题。上海市消保委已两度约谈了其母公司,但B站方面始终未正面回应[6]

同时疑似受此事件影响,哔哩哔哩(B站)盘前跌3.72%。[7]

很明显,此事件对哔哩哔哩极度不利。

同时,“openbilibili”也被列入b站敏感词列表。

同时,通过这个事件,我们也了解到了B站后端的工作氛围。例如在代码里画画、写诗、画颜文字、吐槽甚至贴广告。

另外,受蔡徐坤事件影响,部分蔡徐坤粉丝借机对号入座表明成功攻破B站,目前此事件的真实原因仍未得知,在最终的调查结果得出之前,不应轻信任何谣言。[来源请求]

事件相关

相关法律

民事责任

《民法典》第一千一百六十五条第一款规定:“行为人因过错侵害他人民事权益造成损害的,应当承担侵权责任。”

侵犯商业秘密可能构成民事侵权。如造成损害并符合侵权行为的其他构成要件,则行为人应当依法承担相应的民事侵权责任。

行政责任

《反不正当竞争法》第九条规定:“经营者不得实施下列侵犯商业秘密的行为:

(一)以盗窃、贿赂、欺诈、胁迫、电子侵入或者其他不正当手段获取权利人的商业秘密;

(二)披露、使用或者允许他人使用以前项手段获取的权利人的商业秘密;

(三)违反保密义务或者违反权利人有关保守商业秘密的要求,披露、使用或者允许他人使用其所掌握的商业秘密;

(四)教唆、引诱、帮助他人违反保密义务或者违反权利人有关保守商业秘密的要求,获取、披露、使用或者允许他人使用权利人的商业秘密。

经营者以外的其他自然人、法人和非法人组织实施前款所列违法行为的,视为侵犯商业秘密。


《反不正当竞争法》第二十一条规定:“经营者以及其他自然人、法人和非法人组织违反本法第九条规定侵犯商业秘密的,由监督检查部门责令停止违法行为,没收违法所得,处十万元以上一百万元以下的罚款;情节严重的,处五十万元以上五百万元以下的罚款。”

侵犯商业秘密罪

根据《中华人民共和国刑法》第二百一十九条规定,侵犯商业秘密罪,是指以盗窃、利诱、胁迫或者其他不正当手段获取权利人的商业秘密,或者非法披露、使用或者允许他人使用其所掌握的或获取的商业秘密,给商业秘密的权利人造成重大损失的行为。

《刑法》第二百一十九条规定:“有下列侵犯商业秘密行为之一,给商业秘密的权利人造成重大损失的,处三年以下有期徒刑或者拘役,并处或者单处罚金;造成特别严重后果的,处三年以上七年以下有限徒刑,并处罚金:

(一)以盗窃、利诱、胁迫或者其他不正当手段获取权利人们商业秘密的;

(二)披露、使用或者允许他人使用以前项手段获取的权利人的商业秘密的;

(三)违反约定或者违反权利人有关保守商业秘密的要求,披露、使用或者允许他人使用其所掌握的商业秘密的。

明知或者应知前款所列行为,获取、使用或者披露他人的商业秘密的,以侵犯商业秘密罪论处。

本条所称商业秘密,是指不为公众所悉,能为权利人带来经济利益,具有实用性并经权利人采取保密措施的技术信息和经营信息。

本条所称权利人,是指商业秘密的所有人和经商业秘密所有人许可的商业秘密使用人。

《请删除大仓代码》

该源码仓库中的第一条评论标题为《请删除大仓代码》,内容如下:

请删除大仓代码

悬崖勒马, 趁着还未扩散之前. 把repo删了.

一旦被公司法务追究, 找到你. 轻者赔偿, 重者入狱.

另外, 以后上了各家公司黑名单, 毁了自己前程.

如果你受到不公平对待, 可以通过恰当的途径, 恰当的方式表达你的诉求.

然并卵, 随后便是一阵复读机 的 狂欢和吃瓜群众在线吃瓜,使该评论成为当前源码仓库中最热门话题。

相关回复节选

为满足部分吃瓜群众的需求,以下节选了评论#1中网友回复内容。

(注意下文为 UTC-07:00 休斯顿、底特律时间,均为4月22日。)

已屏蔽复读机和吃瓜群众,请放心阅读
作者:O*****io - 时间:1:35

A 站有救了!

作者:k**u - 时间:1:40

就事论事, 不要意气用事 ... 工作, 生活中还有很多值得我们付出的事情, 删了吧我们当没看过

作者:j********er - 时间:1:47

即使删了也会被告(已经传播),不删也会被告,自己把握一下是删还是不删吧

作者:A***********ko - 时间:1:51

Github:我们正在遭受大量来自 China 的请求,经过检查发现都是从正常浏览器发起的请求,怀疑某 openbilibili 账号正在组织一场大规模的人肉 DDoS 攻击

作者:g****lf - 时间:1:53

申请入职贵站,优势:熟悉贵站源代码

作者:D******ay - 时间:1:54

现在删除也没用啦,只要发出来就删不掉了,互联网从不失忆

作者:A***********ko - 时间:2:05

刚刚这个 repo 还挂了,现在又恢复了,估计 Github 这会把所有伺服器资源都临时分配到这个仓库来了吧……
Nat Friedman:中国人真可怕

作者:m*****ai - 时间:2:06

没有抗过中国的流量的网站, 都不能称为大站。。。。。

作者:j*********er - 时间:2:07

b站为了开源,也是下了大功夫了,开源届的清流

作者:L********ng - 时间:17:09(UTC+08:00 不知道为啥这封邮件与众不同)

B 站可以联系 GitHub 官方把这个项目禁用

注释与外部链接