|
|
 大数据文摘出品
- Z. o$ M% G" Z; ?5 W# z作者:蒋宝尚、宋欣仪; i8 U! k9 y: ]6 r3 z
# N6 m: T. h$ H3 }% q昨儿个,文摘菌日常在B站上看看本山大爷的视频,听听吴亦凡的大碗面。突然弹幕画风突变,评论区集体喊话B站,“你家后院着火了”。
1 x+ ]' k# ~1 F) Q3 j原来,Bilibili的网站后台源码被发到了GitHub上。消息传出后,Star数量在4点半就突破了2000,到了下午5点,Star数已经达到6000,最终创下了一天斩获9000+的惊人纪录。" n2 A- ]6 q, i
( W7 z$ L! v! l; a2 b. rGithub显示该项目作者为openbilibili,这是一个 4 月 22 日(也就是昨天)才注册的账号。很显然就是为了发布这个项目才注册了git。另外,项目名go-common,能猜到这就是一个用Go语言写的支持库。) z" O0 T3 F1 q1 w- F I# Z
4 ~3 @+ ?" h& ^# ]) Z% ^下图为项目描述。) C1 J0 t! G4 I3 M' E( h; m6 Z
 , { h+ G6 d: O6 V
另外,还有负责人信息☟
, v+ _9 c8 D6 O9 Y' S; T) | 8 M9 z9 W, W( H2 h
一位资深后端技术人员分析称,上述曝光的源码疑似B站的后端工程源代码,B站可能就是或者曾经使用上述代码部署网站的。
7 v) X0 r8 ^6 r4 ~8 ~当天,B站通过官方微博针对网站工程源代码被泄露一事进行回应,公告称有部分B站工程代码在网上流传,经内部紧急核查,确认该部分代码属于较老的历史版本。网站已经执行了主动的防御措施,确认此事件不会影响到网站安全和用户数据安全。5 Q- q2 ]* r3 z
 P( N. l! m/ ^4 Z! s" v
截至发文,该声明已被删除% z5 U1 B l. I: g" d1 a5 h4 }
, w r$ }% J; ]9 s
这个项目到5点20分左右才被关闭掉,不过当时已经有超过9000的Star,有超过6000的Fork了,也就是说这个项目已经被备份6000多次且不可连带删除,这基本属于无可挽回操作。
( C7 t; T6 D* H" r3 e4 |; B7 F8 @* m$ J
泄露影响,代码背后的黑洞
% G7 _. w! I& W" Y& b根据技术人员分析,B站的这份声明有待商榷,毕竟通过代码分析,会发现有最近时间标志的代码。
' k9 X- j! |8 W: i3 Y) L而且泄露的后台工程源码中,除去部分用户的账号与密码之外,还有着许多用户们尚不知晓的“内幕”,甚至连签约UP的粉丝量、播放量等关键数据都可以经过系统进行作弊虚假处理。2 O0 [ b8 w! y, A
 " [. ]: e3 I2 @+ p# J
透过后台工程源码的注释可以看出,号称“良心”、“净土”的B站其实也有着大量我们看不到的“潜规则”的。
; O% E) S; ~1 C7 {$ _
' x! P( I4 [( }( I很b站的注释
8 B0 a) f ]% k3 u& L5 f. L也就是说这份代码泄露会导致B站代码的很多隐患将会被曝出来。如果黑客想通过B站后端代码攻击B站,以前他需要做的事情是逆向B站的代码,猜测其运作原理和漏洞位置,但是现在他可以直接阅读源码,从中找到很多不为人知的漏洞。这就为某些黑产提供了便利,例如,他会利用这份代码找到视频方面的漏洞然后盗取未公开视频;通连接到后台数据库做一些提权,获取用户信息。
2 ?" M! f# H5 }# a( S 另一方面,源代码泄露还意味着,某些人可以以此为参照,复制出一套成熟的后端架构,然后做出zilizili或者yiliyili等网站。
: Z9 S2 G2 k0 t V8 I9 ^
! H) b1 r/ q n/ u6 U7 ]9 \0 z$ F随着B站的发展,其业务范围也在不断扩大,游戏代理、大会员、激励计划等的加入也赋予了曾经功能单一的B站账号大量的经济价值,若是大量账号失窃,其经济损失将难以估计。
( t5 X1 |+ s5 P" T! H0 u9 M7 J国内首个知名网站源代码泄露,背后暴露的问题
6 T# c d5 [# C4 k9 [: Q7 B* |目前,代码的泄露人和泄露原因尚不清楚,有谣言称事情是一个被裁员的程序员的报复。不管传言是否准确,如此重大的代码泄露事件仍然是一件值得探讨的问题。亦有知乎网友表示,这一泄露已经触犯到了法律,如果B站追责,且不说这位程序员在业内混不下去,还有可能坐牢。0 U1 h0 Z, |; H4 [9 J
程序员作为雇员与雇主之间的矛盾一直处在不可调和阶段,前段时间一位程序员发起的996.icu的repo现在依然霸占着github流行度的月榜、周榜以及日榜。这也充分的说明了程序员现有的表达诉求的正常渠道似乎没有宣传的那么有效。
- ]5 o2 D; A3 s u X4 t0 S雇员与雇主之间并不是仇敌,两者的有着共同的利益诉求,毕竟都想把蛋糕做大,能够分的更多的利益。协调沟通只是其中的一种方式,更多的矛盾触发点应该是这块蛋糕如何分配。如果利益矛盾真的到了不可调和的地步,毕竟,光脚的不怕穿鞋的,往日程序员删库跑路的案例比比皆是,程序员锁死服务器、删库跑路,公司解散亏XXX万的新闻也是发生过的。
; w# |+ E- ]* q另一方面,其实这也暴露了互联网软件行业中的通病——开发与业务相互割裂。这次源代码中暴露的问题不仅仅是b站的,阿里云以前也出过看上去非常不可思议的小错误,微博也曾经因为明星事件多次出现服务器宕机。本质上,这或许也暴露了研发、开发人员和业务的割裂。研发人员一般开发中间件服务,不太会从业务的角度去考虑实际的应用问题,更不会管你的应用是不是有问题。可开发人员开发出的服务才是面向最终用户的,技术开发一定要从整体全面考虑,尤其要重视最末端的开发,面向用户的业务代码一定要注意。
' E# W4 {+ ]$ N; ^6 h! o L0 I另外,此次暴露出的行业安全问题也不能不重视。研究人员发现,GitHub仍然存在数千个可公开访问的加密密钥。GitHub上的100,000多个代码存储库包含访问密钥,可以为攻击者提供对这些存储库(repos)或在线服务提供商服务的特权访问。北卡罗来纳州立大学(NCSU)的研究人员在近六个月内扫描了近13%的GitHub公共存储库。在一篇揭示调查结果的论文中,他们说:“我们发现不仅秘密泄漏普遍存在 ——影响超过100,000个存储库 - 而且每天都有数千个新的,独特的秘密被泄露。”
$ z9 n9 w: K+ j( S% h9 g, n2 J现代公司对于数字化资产的私密度、保护意识急需加强。网络安全形势严峻,多数企业已经有了完善的态势感知和应急体系,及时发现、及时处理才能将安全事件的损害降到最低。
" D% d+ W7 B- ?9 Q) j& V4 d- J实习/全职编辑记者招聘ing& B: s- E0 M" F3 g% I& y( n* @
加入我们,亲身体验一家专业科技媒体采写的每个细节,在最有前景的行业,和一群遍布全球最优秀的人一起成长。坐标北京·清华东门,在大数据文摘主页对话页回复“招聘”了解详情。简历请直接发送至zz@bigdatadigest.cn; R; Q- w. D3 G/ o0 r
2 w/ d) |$ O. I; Y
# K |# b$ [( m- y# A: s
! U3 s- n# Q& G/ U( I. v来源:http://www.yidianzixun.com/article/0LoiuTId
9 W/ o; ]. P% V& l' r免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
×
|
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-4-23 21:36:21
