2023年政策修订增补工作正在进行中,欢迎参与!
  • Moegirl.ICU:萌娘百科流亡社群 581077156(QQ),欢迎对萌娘百科运营感到失望的编辑者加入
  • Moegirl.ICU:账号认领正在试运行,有意者请参照账号认领流程

4.22嗶哩嗶哩後台代碼泄露事件

萌娘百科,萬物皆可萌的百科全書!轉載請標註來源頁面的網頁連結,並聲明引自萌娘百科。內容不可商用。
跳至導覽 跳至搜尋
Law-greendam.png
該條目記述的內容或行爲,在現實中可能違反特定國家、地區的刑法,構成犯罪。
萌娘百科鄭重提醒您:請勿將本條目內任何內容用於您所在地區法律或人道主義精神所禁止的行為。
萌娘百科以及條目編輯者對此不承擔任何責任
Warning.png
該頁面包含敏感內容,可能不受到某些人歡迎。為了萌娘百科的良好環境,一切修改請以遵守中立性原則為前提,避免添加不客觀內容。
編輯本條目請儘量中立、客觀、慎重,貿然進行無意義的編輯戰或者破壞將導致您受到懲罰,萌娘百科感謝您的理解與合作。

4.22嗶哩嗶哩後台代碼泄露事件 是指2019年4月22日嗶哩嗶哩後台代碼被泄露的事件。

事件簡述

2019年4月22日上午10時左右,一個名為「openbilibili」的GitHub賬戶創建了名為「go-common」的嗶哩嗶哩代碼庫,同時該項目描述為清晰寫着「嗶哩嗶哩 bilibili 網站後台工程 源碼」。源碼於下午16時左右開始迅速傳播,最終在17時20分左右因空間容量使用過度以及B站安全團隊的DMCA請求被GitHub關閉。據猜測,這可能是一名B站前員工為報復B站所作出的行為。

源碼內容

(因條目中不宜展示過多源碼,有意觀看源碼的讀者請查看參考資料[1][2][3]

  • 抽獎套路:就算抽獎不成功,也會發送彈幕,讓用戶們感覺有很多人在參加,從而調動用戶們的積極性。[2]
  • 會員檢測機制:自動檢測用戶的大會員是花錢買的還是送的。[2]
  • 倒號檢測:當號主大規模刪除稿件時,就會觸發B站的檢測機制,這種大規模的刪稿一般是倒號、賣號前的操作。[2]
  • 各部分項目詳細的負責人姓名拼音[3]
  • 部分用戶名、密碼以及郵箱被硬編碼在代碼內[3]
  • 部分不雅、英文拼寫錯誤以及不符合程序員邏輯,可能會使運維炸毛的代碼被曝光(比如被命名成rider的庫或者名為FXXK的函數)[1]
    一言不合一句 f**k();
被泄露的源碼中的用戶名和密碼
B站源碼泄露的用戶名密碼.jpeg

具體過程

https://www.itsource.cn/upload/news/2019-04-25/f454d698-1bd0-4c28-be1e-57375e28695f.jpg
B站官方對此事作出的說明
  • 2019年4月22日10時左右,一位名為「openbilibili」的GitHub用戶上傳了名為「go-common」的嗶哩嗶哩後台源碼。
    • 16時左右,源碼被泄露的消息開始在各類信息發布平台與即時聊天工具中傳播。此時,該源碼僅不到100條評論、200標星和200多分支。
    • 16時30分左右,大量吃瓜群眾湧入,評論、標星和分支開始迅速增長。其中評論約每分鐘增長30條,標星約每分鐘增長50~100人次。期間,由於暴增的流量引發了GitHub故障導致源碼無法下載與分支。GitHub:這誰頂得住啊
    • 17時02分,評論突破1000條。與此同時,標星已有6185條左右。
    • 17時20分左右,源碼倉庫因空間容量使用過度被GitHub關閉。
    • 17時22分左右,源碼倉庫的下載功能和預覽功能恢復,但分支功能暫時無法使用。
    • 17時25分,源碼倉庫因B站安全團隊發出的DMCA刪除申請函永久刪除[4]但是由於申請函中沒有寫明「刪除分支」導致該倉庫的部分分支依然存在。
    • 19時45分,B站官方對此事作出回應,確認該部分代碼為較老的歷史版本(側面證實了代碼的來源,並無意中給公關部門造成了更嚴重的後果)並已做好防禦措施,確認此事不會影響到網站安全和用戶數據安全[5]但根據源代碼內容中存在的2019拜年祭相關代碼,至少有部分代碼是在2019年初完成的。

影響

直到源碼倉庫被GitHub關閉之前,該源碼已有1200多評論、將近1萬標星和6000多分支。然而即便源碼倉庫已被關閉,部分已經獲得源碼的網友仍在通過各種途徑傳播源碼。

某些源代碼文件涉及「吳織亞切大忽悠」、「狗粉絲」、「播放量作弊」、「黑箱抽獎」等敏感事件及其處理方式等相關內容,讓人開始對之前B站對這些負面行為的不作為態度進行惡意揣測與推定。

B站源代碼暴露其在「節奏風暴抽獎活動」中暗箱操作抽獎成功率問題。上海市消保委已兩度約談了其母公司,但B站方面始終未正面回應[6]

同時疑似受此事件影響,嗶哩嗶哩(B站)盤前跌3.72%。[7]

很明顯,此事件對嗶哩嗶哩極度不利。

同時,「openbilibili」也被列入b站敏感詞列表。

同時,通過這個事件,我們也了解到了B站後端的工作氛圍。例如在代碼里畫畫、寫詩、畫顏文字、吐槽甚至貼廣告。

另外,受蔡徐坤事件影響,部分蔡徐坤粉絲藉機對號入座表明成功攻破B站,目前此事件的真實原因仍未得知,在最終的調查結果得出之前,不應輕信任何謠言。[來源請求]

事件相關

相關法律

民事責任

《民法典》第一千一百六十五條第一款規定:「行為人因過錯侵害他人民事權益造成損害的,應當承擔侵權責任。」

侵犯商業秘密可能構成民事侵權。如造成損害並符合侵權行為的其他構成要件,則行為人應當依法承擔相應的民事侵權責任。

行政責任

《反不正當競爭法》第九條規定:「經營者不得實施下列侵犯商業秘密的行為:

(一)以盜竊、賄賂、欺詐、脅迫、電子侵入或者其他不正當手段獲取權利人的商業秘密;

(二)披露、使用或者允許他人使用以前項手段獲取的權利人的商業秘密;

(三)違反保密義務或者違反權利人有關保守商業秘密的要求,披露、使用或者允許他人使用其所掌握的商業秘密;

(四)教唆、引誘、幫助他人違反保密義務或者違反權利人有關保守商業秘密的要求,獲取、披露、使用或者允許他人使用權利人的商業秘密。

經營者以外的其他自然人、法人和非法人組織實施前款所列違法行為的,視為侵犯商業秘密。


《反不正當競爭法》第二十一條規定:「經營者以及其他自然人、法人和非法人組織違反本法第九條規定侵犯商業秘密的,由監督檢查部門責令停止違法行為,沒收違法所得,處十萬元以上一百萬元以下的罰款;情節嚴重的,處五十萬元以上五百萬元以下的罰款。」

侵犯商業秘密罪

根據《中華人民共和國刑法》第二百一十九條規定,侵犯商業秘密罪,是指以盜竊、利誘、脅迫或者其他不正當手段獲取權利人的商業秘密,或者非法披露、使用或者允許他人使用其所掌握的或獲取的商業秘密,給商業秘密的權利人造成重大損失的行為。

《刑法》第二百一十九條規定:「有下列侵犯商業秘密行為之一,給商業秘密的權利人造成重大損失的,處三年以下有期徒刑或者拘役,並處或者單處罰金;造成特別嚴重後果的,處三年以上七年以下有限徒刑,並處罰金:

(一)以盜竊、利誘、脅迫或者其他不正當手段獲取權利人們商業秘密的;

(二)披露、使用或者允許他人使用以前項手段獲取的權利人的商業秘密的;

(三)違反約定或者違反權利人有關保守商業秘密的要求,披露、使用或者允許他人使用其所掌握的商業秘密的。

明知或者應知前款所列行為,獲取、使用或者披露他人的商業秘密的,以侵犯商業秘密罪論處。

本條所稱商業秘密,是指不為公眾所悉,能為權利人帶來經濟利益,具有實用性並經權利人採取保密措施的技術信息和經營信息。

本條所稱權利人,是指商業秘密的所有人和經商業秘密所有人許可的商業秘密使用人。

《請刪除大倉代碼》

該源碼倉庫中的第一條評論標題為《請刪除大倉代碼》,內容如下:

請刪除大倉代碼

懸崖勒馬, 趁着還未擴散之前. 把repo刪了.

一旦被公司法務追究, 找到你. 輕者賠償, 重者入獄.

另外, 以後上了各家公司黑名單, 毀了自己前程.

如果你受到不公平對待, 可以通過恰當的途徑, 恰當的方式表達你的訴求.

然並卵, 隨後便是一陣複讀機 的 狂歡和吃瓜群眾在線吃瓜,使該評論成為當前源碼倉庫中最熱門話題。

相關回復節選

為滿足部分吃瓜群眾的需求,以下節選了評論#1中網友回復內容。

(注意下文為 UTC-07:00 休斯頓、底特律時間,均為4月22日。)

已屏蔽複讀機和吃瓜群眾,請放心閱讀
作者:O*****io - 時間:1:35

A 站有救了!

作者:k**u - 時間:1:40

就事論事, 不要意氣用事 ... 工作, 生活中還有很多值得我們付出的事情, 刪了吧我們當沒看過

作者:j********er - 時間:1:47

即使刪了也會被告(已經傳播),不刪也會被告,自己把握一下是刪還是不刪吧

作者:A***********ko - 時間:1:51

Github:我們正在遭受大量來自 China 的請求,經過檢查發現都是從正常瀏覽器發起的請求,懷疑某 openbilibili 賬號正在組織一場大規模的人肉 DDoS 攻擊

作者:g****lf - 時間:1:53

申請入職貴站,優勢:熟悉貴站源代碼

作者:D******ay - 時間:1:54

現在刪除也沒用啦,只要發出來就刪不掉了,互聯網從不失憶

作者:A***********ko - 時間:2:05

剛剛這個 repo 還掛了,現在又恢復了,估計 Github 這會把所有服務器資源都臨時分配到這個倉庫來了吧……
Nat Friedman:中國人真可怕

作者:m*****ai - 時間:2:06

沒有抗過中國的流量的網站, 都不能稱為大站。。。。。

作者:j*********er - 時間:2:07

b站為了開源,也是下了大功夫了,開源屆的清流

作者:L********ng - 時間:17:09(UTC+08:00 不知道為啥這封郵件與眾不同)

B 站可以聯繫 GitHub 官方把這個項目禁用

注釋與外部鏈接