4.22哔哩哔哩后台代码泄露事件
萌娘百科郑重提醒您:請勿将本条目內任何内容用于您所在地区法律或人道主义精神所禁止的行为。
萌娘百科以及条目编辑者對此不承擔任何責任。
编辑本条目请尽量中立、客观、慎重,贸然进行无意义的编辑战或者破坏将导致您受到惩罚,萌娘百科感谢您的理解与合作。
4.22哔哩哔哩后台代码泄露事件 是指2019年4月22日哔哩哔哩后台代码被泄露的事件。
事件简述
2019年4月22日上午10时左右,一个名为“openbilibili”的GitHub账户创建了名为“go-common”的哔哩哔哩代码库,同时该项目描述为清晰写着“哔哩哔哩 bilibili 网站后台工程 源码”。源码于下午16时左右开始迅速传播,最终在17时20分左右因空间容量使用过度以及B站安全团队的DMCA请求被GitHub关闭。据猜测,这可能是一名B站前员工为报复B站所作出的行为。
源码内容
(因条目中不宜展示过多源码,有意观看源码的读者请查看参考资料[1][2][3])
- 抽奖套路:就算抽奖不成功,也会发送弹幕,让用户们感觉有很多人在参加,从而调动用户们的积极性。[2]
- 会员检测机制:自动检测用户的大会员是花钱买的还是送的。[2]
- 倒号检测:当号主大规模删除稿件时,就会触发B站的检测机制,这种大规模的删稿一般是倒号、卖号前的操作。[2]
- 各部分项目详细的负责人姓名拼音[3]
- 部分用户名、密码以及邮箱被硬编码在代码内[3]
- 部分不雅、英文拼写错误以及不符合程序员逻辑,可能会使运维炸毛的代码被曝光(比如被命名成rider的库或者名为FXXK的函数)。[1]
一言不合一句 f**k();
| 被泄露的源码中的用户名和密码 |
|---|
具体过程
 |
| B站官方对此事作出的说明 |
- 2019年4月22日10时左右,一位名为“openbilibili”的GitHub用户上传了名为“go-common”的哔哩哔哩后台源码。
- 16时左右,源码被泄露的消息开始在各类信息发布平台与即时聊天工具中传播。此时,该源码仅不到100条评论、200标星和200多分支。
- 16时30分左右,大量吃瓜群众涌入,评论、标星和分支开始迅速增长。其中评论约每分钟增长30条,标星约每分钟增长50~100人次。期间,由于暴增的流量引发了GitHub故障导致源码无法下载与分支。GitHub:这谁顶得住啊!
- 17时02分,评论突破1000条。与此同时,标星已有6185条左右。
- 17时20分左右,源码仓库因空间容量使用过度被GitHub关闭。
- 17时22分左右,源码仓库的下载功能和预览功能恢复,但分支功能暂时无法使用。
- 17时25分,源码仓库因B站安全团队发出的DMCA删除申请函永久删除[4],但是由于申请函中没有写明“删除分支”导致该仓库的部分分支依然存在。
- 19时45分,B站官方对此事作出回应,确认该部分代码为较老的历史版本(侧面证实了代码的来源,并无意中给公关部门造成了更严重的后果)并已做好防御措施,确认此事不会影响到网站安全和用户数据安全[5] 。但根据源代码内容中存在的2019拜年祭相关代码,至少有部分代码是在2019年初完成的。
影响
直到源码仓库被GitHub关闭之前,该源码已有1200多评论、将近1万标星和6000多分支。然而即便源码仓库已被关闭,部分已经获得源码的网友仍在通过各种途径传播源码。
某些源代码文件涉及“吴织亚切大忽悠”、“狗粉丝”、“播放量作弊”、“黑箱抽奖”等敏感事件及其处理方式等相关内容,让人开始对之前B站对这些负面行为的不作为态度进行恶意揣测与推定。
B站源代码暴露其在“节奏风暴抽奖活动”中暗箱操作抽奖成功率问题。上海市消保委已两度约谈了其母公司,但B站方面始终未正面回应。[6]
同时疑似受此事件影响,哔哩哔哩(B站)盘前跌3.72%。[7]
很明显,此事件对哔哩哔哩极度不利。
同时,“openbilibili”也被列入b站敏感词列表。
同时,通过这个事件,我们也了解到了B站后端的工作氛围。例如在代码里画画、写诗、画颜文字、吐槽甚至贴广告。
另外,受蔡徐坤事件影响,部分蔡徐坤粉丝借机对号入座表明成功攻破B站,目前此事件的真实原因仍未得知,在最终的调查结果得出之前,不应轻信任何谣言。[来源请求]
事件相关
相关法律
| 民事责任 |
|---|
| 行政责任 |
|---|
| 侵犯商业秘密罪 |
|---|
《请删除大仓代码》
该源码仓库中的第一条评论标题为《请删除大仓代码》,内容如下:
| 请删除大仓代码 |
|---|
然并卵, 随后便是一阵复读机 的 狂欢和吃瓜群众在线吃瓜,使该评论成为当前源码仓库中最热门话题。
相关回复节选
为满足部分吃瓜群众的需求,以下节选了评论#1中网友回复内容。
(注意下文为 UTC-07:00 休斯顿、底特律时间,均为4月22日。)
| 已屏蔽复读机和吃瓜群众,请放心阅读 |
|---|
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
注释与外部链接
- ↑ 跳转到: 1.0 1.1 Mrxn. B站(bilibili)后端源码泄露,我们可以从中了解多少信息安全知识和代码里的有趣信息. Mrxn's Blog. 2019-04-22 [引用时间: 2020-03-16].
- ↑ 跳转到: 2.0 2.1 2.2 2.3 B站后台工程源码泄露事件以及背后的影响. 源码时代. 2019-04-25 [引用时间: 2020-03-16].
- ↑ 跳转到: 3.0 3.1 3.2 B站源码泄露,官方回应内容两次秒删!. 黑白网. 2019-04-23 [引用时间: 2020-03-16].
- ↑ https://github.com/github/dmca/blob/master/2019/04/2019-04-23-bilibili.md
- ↑ 哔哩哔哩弹幕网. 关于“B站部分工程代码泄露”事件的说明. 哔哩哔哩相簿.
- ↑ 上海市消保委敦促哔哩哔哩网站直面问题 诚信对待消费者. 新华社.
- ↑ b站工程源码怎么泄露的有何影响 bilibili泄露曝光了什么内容?. 深圳热线.