前儿个,日常在B站上看看本山大爷的视频,听听吴亦凡的大碗面。突然弹幕画风突变,评论区集体喊话 B 站,“你家后院着火了”。
原来,bilibili 的网站后台源码被发到了 GitHub 上。消息传出后,Star 数量在 4 点半就突破了 2000,到了下午 5 点,Star 数已经达到 6000,最终创下了一天斩获 9000+ 的惊人纪录。
GitHub 显示该项目作者为 openbilibili,这是一个 4 月 22 日(也就是昨天)才注册的账号。很显然就是为了发布这个项目才注册了 Git。另外,项目名 go-common,能猜到这就是一个用 Go 语言写的支持库。
下图为项目描述:
另外,还有负责人信息:
一位资深后端技术人员分析称,上述曝光的源码疑似 B 站的后端工程源代码,B 站可能就是或者曾经使用上述代码部署网站的。
当天,B 站通过官方微博针对网站工程源代码被泄露一事进行回应,公告称有部分 B 站工程代码在网上流传,经内部紧急核查,确认该部分代码属于较老的历史版本。
网站已经执行了主动的防御措施,确认此事件不会影响到网站安全和用户数据安全。
截至发文,该声明已被删除
这个项目到 5 点 20 分左右才被关闭掉,不过当时已经有超过 9000 的 Star,有超过 6000 的 Fork 了,也就是说这个项目已经被备份 6000 多次且不可连带删除,这基本属于无可挽回操作。
泄露影响,代码背后的黑洞
根据技术人员分析,B 站的这份声明有待商榷,毕竟通过代码分析,会发现有最近时间标志的代码。
而且泄露的后台工程源码中,除去部分用户的账号与密码之外,还有着许多用户们尚不知晓的“内幕”,甚至连签约 UP 的粉丝量、播放量等关键数据都可以经过系统进行作弊虚假处理。
透过后台工程源码的注释可以看出,号称“良心”、“净土”的 B 站其实也有着大量我们看不到的“潜规则”的。
很 B 站的注释
也就是说这份代码泄露会导致 B 站代码的很多隐患将会被曝出来。如果黑客想通过 B 站后端代码攻 击 B 站,以前他需要做的事情是逆向 B 站的代码,猜测其运作原理和漏洞位置,但是现在他可以直接阅读源码,从中找到很多不为人知的漏洞。
这就为某些黑产提供了便利,例如,他会利用这份代码找到视频方面的漏洞然后盗取未公开视频;通过连接到后台数据库做一些提权,获取用户信息。
另一方面,源代码泄露还意味着,某些人可以以此为参照,复制出一套成熟的后端架构,然后做出 zilizili 或者 yiliyili 等网站。
随着 B 站的发展,其业务范围也在不断扩大,游戏代理、大会员、激励计划等的加入也赋予了曾经功能单一的 B 站账号大量的经济价值,若是大量账号失窃,其经济损失将难以估计。
背后暴露的问题
目前,代码的泄露人和泄露原因尚不清楚,有谣言称事情是一个被裁员的程序员的报复。
不管传言是否准确,如此重大的代码泄露事件仍然是一件值得探讨的问题。
亦有知乎网友表示,这一泄露已经触犯到了法律,如果 B 站追责,且不说这位程序员在业内混不下去,还有可能坐牢。
程序员作为雇员与雇主之间的矛盾一直处在不可调和阶段,前段时间一位程序员发起的 996.icu 的 repo 现在依然霸占着 GitHub 流行度的月榜、周榜以及日榜。
这也充分的说明了程序员现有的表达诉求的正常渠道似乎没有宣传的那么有效。
雇员与雇主之间并不是仇敌,两者有着共同的利益诉求,毕竟都想把蛋糕做大,能够分得更多的利益。
协调沟通只是其中的一种方式,更多的矛盾触发点应该是这块蛋糕如何分配。
如果利益矛盾真的到了不可调和的地步,毕竟,光脚的不怕穿鞋的,往日程序员删库跑路的案例比比皆是,程序员锁死服务器、删库跑路,公司解散亏 XXX 万的新闻也是发生过的。
另一方面,这也暴露了互联网软件行业中的通病——开发与业务相互割裂。
这次源代码中暴露的问题不仅仅是 B 站的,阿里云以前也出过看上去非常不可思议的小错误,微博也曾经因为明星事件多次出现服务器宕机。
本质上,这或许也暴露了研发、开发人员和业务的割裂。研发人员一般开发中间件服务,不太会从业务的角度去考虑实际的应用问题,更不会管你的应用是不是有问题。
可开发人员开发出的服务才是面向最终用户的,技术开发一定要从整体全面考虑,尤其要重视最末端的开发,面向用户的业务代码一定要注意。
另外,此次暴露出的行业安全问题也不能不重视。研究人员发现,GitHub 仍然存在数千个可公开访问的加密密钥。
GitHub 上的 100,000 多个代码存储库包含访问密钥,可以为攻 击者提供对这些存储库(repos)或在线服务提供商服务的特权访问。
北卡罗来纳州立大学(NCSU)的研究人员在近六个月内扫描了近 13% 的 GitHub 公共存储库。
在一篇揭示调查结果的论文中,他们说:“我们发现不仅秘密泄漏普遍存在 ——影响超过 100,000 个存储库,而且每天都有数千个新的,独特的秘密被泄露。”
现代公司对于数字化资产的私密度、保护意识急需加强。网络安全形势严峻,多数企业已经有了完善的态势感知和应急体系,及时发现、及时处理才能将安全事件的损害降到最低。