開源跑路的程式設計師?B站工程原始碼洩露,Github標星9k+,內含部分使用者名稱密碼

大資料文摘發表於2019-04-23
原文網址 : http://blog.itpub.net/31562039/viewspace-2642296/
程式設計師原始碼Github密碼

開源跑路的程式設計師?B站工程原始碼洩露,Github標星9k+,內含部分使用者名稱密碼

大資料文摘出品

作者:蔣寶尚、宋欣儀

昨兒個,文摘菌日常在B站上看看本山大爺的視訊,聽聽吳亦凡的大碗麵。突然彈幕畫風突變,評論區集體喊話B站,“你家後院著火了”。

原來,Bilibili的網站後臺原始碼被髮到了GitHub上。訊息傳出後,Star數量在4點半就突破了2000,到了下午5點,Star數已經達到6000,最終創下了一天斬獲9000+的驚人紀錄。

開源跑路的程式設計師?B站工程原始碼洩露,Github標星9k+,內含部分使用者名稱密碼

Github顯示該專案作者為openbilibili,這是一個 4 月 22 日(也就是昨天)才註冊的賬號。很顯然就是為了釋出這個專案才註冊了git。另外,專案名go-common,能猜到這就是一個用Go語言寫的支援庫。

開源跑路的程式設計師?B站工程原始碼洩露,Github標星9k+,內含部分使用者名稱密碼

下圖為專案描述。

開源跑路的程式設計師?B站工程原始碼洩露,Github標星9k+,內含部分使用者名稱密碼

另外,還有負責人資訊☟

開源跑路的程式設計師?B站工程原始碼洩露,Github標星9k+,內含部分使用者名稱密碼

一位資深後端技術人員分析稱,上述曝光的原始碼疑似B站的後端工程原始碼,B站可能就是或者曾經使用上述程式碼部署網站的。

當天,B站通過官方微博針對網站工程原始碼被洩露一事進行回應,公告稱有部分B站工程程式碼在網上流傳,經內部緊急核查,確認該部分程式碼屬於較老的歷史版本。網站已經執行了主動的防禦措施,確認此事件不會影響到網站安全和使用者資料安全。

開源跑路的程式設計師?B站工程原始碼洩露,Github標星9k+,內含部分使用者名稱密碼

截至發文,該宣告已被刪除

這個專案到5點20分左右才被關閉掉,不過當時已經有超過9000的Star,有超過6000的Fork了,也就是說這個專案已經被備份6000多次且不可連帶刪除,這基本屬於無可挽回操作。

開源跑路的程式設計師?B站工程原始碼洩露,Github標星9k+,內含部分使用者名稱密碼

洩露影響,程式碼背後的黑洞

根據技術人員分析,B站的這份宣告有待商榷,畢竟通過程式碼分析,會發現有最近時間標誌的程式碼。

而且洩露的後臺工程原始碼中,除去部分使用者的賬號與密碼之外,還有著許多使用者們尚不知曉的“內幕”,甚至連簽約UP的粉絲量、播放量等關鍵資料都可以經過系統進行作弊虛假處理。

開源跑路的程式設計師?B站工程原始碼洩露,Github標星9k+,內含部分使用者名稱密碼

透過後臺工程原始碼的註釋可以看出,號稱“良心”、“淨土”的B站其實也有著大量我們看不到的“潛規則”的。

開源跑路的程式設計師?B站工程原始碼洩露,Github標星9k+,內含部分使用者名稱密碼

很b站的註釋

也就是說這份程式碼洩露會導致B站程式碼的很多隱患將會被曝出來。如果黑客想通過B站後端程式碼攻擊B站,以前他需要做的事情是逆向B站的程式碼,猜測其運作原理和漏洞位置,但是現在他可以直接閱讀原始碼,從中找到很多不為人知的漏洞。這就為某些黑產提供了便利,例如,他會利用這份程式碼找到視訊方面的漏洞然後盜取未公開視訊;通連線到後臺資料庫做一些提權,獲取使用者資訊。

開源跑路的程式設計師?B站工程原始碼洩露,Github標星9k+,內含部分使用者名稱密碼       

另一方面,原始碼洩露還意味著,某些人可以以此為參照,複製出一套成熟的後端架構,然後做出zilizili或者yiliyili等網站。

開源跑路的程式設計師?B站工程原始碼洩露,Github標星9k+,內含部分使用者名稱密碼


隨著B站的發展,其業務範圍也在不斷擴大,遊戲代理、大會員、激勵計劃等的加入也賦予了曾經功能單一的B站賬號大量的經濟價值,若是大量賬號失竊,其經濟損失將難以估計。

國內首個知名網站原始碼洩露,背後暴露的問題

目前,程式碼的洩露人和洩露原因尚不清楚,有謠言稱事情是一個被裁員的程式設計師的報復。不管傳言是否準確,如此重大的程式碼洩露事件仍然是一件值得探討的問題。亦有知乎網友表示,這一洩露已經觸犯到了法律,如果B站追責,且不說這位程式設計師在業內混不下去,還有可能坐牢。

程式設計師作為僱員與僱主之間的矛盾一直處在不可調和階段,前段時間一位程式設計師發起的996.icu的repo現在依然霸佔著github流行度的月榜、周榜以及日榜。這也充分的說明了程式設計師現有的表達訴求的正常渠道似乎沒有宣傳的那麼有效。

僱員與僱主之間並不是仇敵,兩者的有著共同的利益訴求,畢竟都想把蛋糕做大,能夠分的更多的利益。協調溝通只是其中的一種方式,更多的矛盾觸發點應該是這塊蛋糕如何分配。如果利益矛盾真的到了不可調和的地步,畢竟,光腳的不怕穿鞋的,往日程式設計師刪庫跑路的案例比比皆是,程式設計師鎖死伺服器、刪庫跑路,公司解散虧XXX萬的新聞也是發生過的。

另一方面,其實這也暴露了網際網路軟體行業中的通病——開發與業務相互割裂。這次原始碼中暴露的問題不僅僅是b站的,阿里雲以前也出過看上去非常不可思議的小錯誤,微博也曾經因為明星事件多次出現伺服器當機。本質上,這或許也暴露了研發、開發人員和業務的割裂。研發人員一般開發中介軟體服務,不太會從業務的角度去考慮實際的應用問題,更不會管你的應用是不是有問題。可開發人員開發出的服務才是面向終端使用者的,技術開發一定要從整體全面考慮,尤其要重視最末端的開發,面向使用者的業務程式碼一定要注意。

另外,此次暴露出的行業安全問題也不能不重視。研究人員發現,GitHub仍然存在數千個可公開訪問的加密金鑰。GitHub上的100,000多個程式碼儲存庫包含訪問金鑰,可以為攻擊者提供對這些儲存庫(repos)或線上服務提供商服務的特權訪問。北卡羅來納州立大學(NCSU)的研究人員在近六個月內掃描了近13%的GitHub公共儲存庫。在一篇揭示調查結果的論文中,他們說:“我們發現不僅祕密洩漏普遍存在 ——影響超過100,000個儲存庫 - 而且每天都有數千個新的,獨特的祕密被洩露。”

現代公司對於數字化資產的私密度、保護意識急需加強。網路安全形勢嚴峻,多數企業已經有了完善的態勢感知和應急體系,及時發現、及時處理才能將安全事件的損害降到最低。

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31562039/viewspace-2642296/,如需轉載,請註明出處,否則將追究法律責任。

相關文章