B站工程源码泄露,Github标星9k+,内含部分用户名密码

大数据文摘出品

作者:蒋宝尚、宋欣仪

昨儿个,文摘菌日常在B站上看看本山大爷的视频,听听吴亦凡的大碗面。突然弹幕画风突变,评论区集体喊话B站,“你家后院着火了”。

原来,Bilibili的网站后台源码被发到了GitHub上。消息传出后,Star数量在4点半就突破了2000,到了下午5点,Star数已经达到6000,最终创下了一天斩获9000+的惊人纪录。

Github显示该项目作者为openbilibili,这是一个 4 月 22 日(也就是昨天)才注册的账号。很显然就是为了发布这个项目才注册了git。另外,项目名go-common,能猜到这就是一个用Go语言写的支持库。

下图为项目描述。

另外,还有负责人信息

一位资深后端技术人员分析称,上述曝光的源码疑似B站的后端工程源代码,B站可能就是或者曾经使用上述代码部署网站的。

当天,B站通过官方微博针对网站工程源代码被泄露一事进行回应,公告称有部分B站工程代码在网上流传,经内部紧急核查,确认该部分代码属于较老的历史版本。网站已经执行了主动的防御措施,确认此事件不会影响到网站安全和用户数据安全。

截至发文,该声明已被删除

这个项目到5点20分左右才被关闭掉,不过当时已经有超过9000的Star,有超过6000的Fork了,也就是说这个项目已经被备份6000多次且不可连带删除,这基本属于无可挽回操作。

泄露影响,代码背后的黑洞

根据技术人员分析,B站的这份声明有待商榷,毕竟通过代码分析,会发现有最近时间标志的代码。

而且泄露的后台工程源码中,除去部分用户的账号与密码之外,还有着许多用户们尚不知晓的“内幕”,甚至连签约UP的粉丝量、播放量等关键数据都可以经过系统进行作弊虚假处理。

透过后台工程源码的注释可以看出,号称“良心”、“净土”的B站其实也有着大量我们看不到的“潜规则”的。

很b站的注释

也就是说这份代码泄露会导致B站代码的很多隐患将会被曝出来。如果黑客想通过B站后端代码攻击B站,以前他需要做的事情是逆向B站的代码,猜测其运作原理和漏洞位置,但是现在他可以直接阅读源码,从中找到很多不为人知的漏洞。这就为某些黑产提供了便利,例如,他会利用这份代码找到视频方面的漏洞然后盗取未公开视频;通连接到后台数据库做一些提权,获取用户信息。

另一方面,源代码泄露还意味着,某些人可以以此为参照,复制出一套成熟的后端架构,然后做出zilizili或者yiliyili等网站。

随着B站的发展,其业务范围也在不断扩大,游戏代理、大会员、激励计划等的加入也赋予了曾经功能单一的B站账号大量的经济价值,若是大量账号失窃,其经济损失将难以估计。

国内首个知名网站源代码泄露,背后暴露的问题

目前,代码的泄露人和泄露原因尚不清楚,有谣言称事情是一个被裁员的程序员的报复。不管传言是否准确,如此重大的代码泄露事件仍然是一件值得探讨的问题。亦有知乎网友表示,这一泄露已经触犯到了法律,如果B站追责,且不说这位程序员在业内混不下去,还有可能坐牢。

程序员作为雇员与雇主之间的矛盾一直处在不可调和阶段,前段时间一位程序员发起的996.icu的repo现在依然霸占着github流行度的月榜、周榜以及日榜。这也充分的说明了程序员现有的表达诉求的正常渠道似乎没有宣传的那么有效。

雇员与雇主之间并不是仇敌,两者的有着共同的利益诉求,毕竟都想把蛋糕做大,能够分的更多的利益。协调沟通只是其中的一种方式,更多的矛盾触发点应该是这块蛋糕如何分配。如果利益矛盾真的到了不可调和的地步,毕竟,光脚的不怕穿鞋的,往日程序员删库跑路的案例比比皆是,程序员锁死服务器、删库跑路,公司解散亏XXX万的新闻也是发生过的。

另一方面,其实这也暴露了互联网软件行业中的通病——开发与业务相互割裂。这次源代码中暴露的问题不仅仅是b站的,阿里云以前也出过看上去非常不可思议的小错误,微博也曾经因为明星事件多次出现服务器宕机。本质上,这或许也暴露了研发、开发人员和业务的割裂。研发人员一般开发中间件服务,不太会从业务的角度去考虑实际的应用问题,更不会管你的应用是不是有问题。可开发人员开发出的服务才是面向最终用户的,技术开发一定要从整体全面考虑,尤其要重视最末端的开发,面向用户的业务代码一定要注意。

另外,此次暴露出的行业安全问题也不能不重视。研究人员发现,GitHub仍然存在数千个可公开访问的加密密钥。GitHub上的100,000多个代码存储库包含访问密钥,可以为攻击者提供对这些存储库(repos)或在线服务提供商服务的特权访问。北卡罗来纳州立大学(NCSU)的研究人员在近六个月内扫描了近13%的GitHub公共存储库。在一篇揭示调查结果的论文中,他们说:“我们发现不仅秘密泄漏普遍存在 ——影响超过100,000个存储库 – 而且每天都有数千个新的,独特的秘密被泄露。”

现代公司对于数字化资产的私密度、保护意识急需加强。网络安全形势严峻,多数企业已经有了完善的态势感知和应急体系,及时发现、及时处理才能将安全事件的损害降到最低。

Image placeholder
leoliu
未设置
  26人点赞

没有讨论,发表一下自己的看法吧

推荐文章
能直接下载了!微软最爽命令行工具登陆Windows 10,GitHub标星已破4万6

乾明发自凹非寺 转自量子位 |公众号QbitAI微软正式放出命令行工具WindowsTerminal。这个在发布之际就引得开发者大呼“WoW!Awesome!MyGod!”,甚至引得不少人当场表态买P

GitHub上标星1.5w,被B站使用,flv.js开源作者月薪还不到5k!学历对程序员有多重要?

大数据文摘出品作者:刘俊寰上周,文摘菌向大家介绍了在美国当数据科学家的年薪水平,发现科学家们的整体薪资走势虽然有所下降,但是年薪中位数保持在12万美元左右。同一时间,知乎上一个很老的话题忽然被重提,也

面向回家编程!GitHub标星两万的”Python抢票教程”,我们先帮你跑了一遍

盼望着,盼望着,春节的脚步近了,然而,每年到这个时候,最难的,莫过于一张回家的火车票。据悉,今年春运期间,全国铁路发送旅客人次同比将增长8.0%。达到4.4亿人次,2020年铁路春运自1月10日开始,

Github标星十万+!愤怒的程序员发起996.ICU,小本本投诉过度加班公司

大数据文摘出品作者:蒋宝尚哪里有压迫,哪里就有反抗。作为程序员的你,这几天一定被名为996.ICU的github项目刷屏。3月27日,有开发者在GitHub上建了一个名为996.ICU的repo,该r

Onvif/RTSP海康大华网络安防摄像机网页无插件直播方案EasyNVR登陆用户名密码失效问题解决方案

背景分析随着互联网基础设施建设的发展,4G/5G/NB-IoT各种网络技术的大规模商用,视频随时随地可看、可控的诉求越来越多,互联网思维、架构和技术引入进传统监控行业里,成为新形势下全终端监控的基础需

2019年数据泄露事件激增,怎样防止数据泄露?

根据RiskBasedSecurity公布的数据,2019年的数据泄露事件达到了一个高峰,已经发现超过3800多起数据泄露事件攻击了企业或者机构,在过去四年中增加了50%甚至更多。报告指出,在2015

Github一天标星1k+,程序员需要知道的那些定理和法则

大数据文摘出品编译:蒋宝尚、曹培信摩尔定律知道么?帕金森定律讲的又是啥?作为一名合格的开发人员,除了本身码力超强外,或多或少要知道几条“”潜规则”,例如依赖倒置原则、鲁棒性原则……关于开发人员必须要知

估值 27.5 亿美元,GitLab“超车”GitHub

近日,知名代码托管平台GitLab宣布完成E轮2.68亿美元融资。据悉,本次融资由高盛银行和IconiqCappital牵头,包括YCombinatorContinuity基金。这可能是该公司上市前

担心美国政府限制,Github考虑在华设立子公司

大数据文摘出品“代码天堂”Github要来中国了?在中美关系持续走低的大背景下,这一消息或许会为代码届带来一些曙光。据英国《金融时报》报道,由于担心美国政府的限制,GitHub正在考虑在中国成立一家子

降低 80% 的读写响应延迟!我们测评了 etcd 3.4 新特性(内含读写发展史)

导读:etcd作为 K8s集群中的存储组件,读写性能方面会受到很多压力,而 etcd 3.4 中的新特性将有效缓解压力,本文将从etcd 数据读写机制的发展历史着手,深入解读 etcd 3.4 新特性

云原生时代,分布式系统设计必备知识图谱(内含22个知识点)

作者|杨泽强(竹涧)阿里云技术专家我们身处于一个充斥着分布式系统解决方案的计算机时代,无论是支付宝、微信这样顶级流量产品、还是区块链、IOT等热门概念、抑或如火如荼的容器生态技术如Kubernetes

MongoDB数据库因安全漏洞,导致Family Locator泄露二十多万名用户数据

摘要:本月第二次,未受保护的MongoDB数据库因大量安全漏洞而导致敏感信息泄露,受欢迎的家庭跟踪应用程序FamilyLocator已经暴露了超过238,000名用户的实时未加密位置数据。该应用程序非

数据泄露后,美国Web托管服务商Hostinger重置1400万用户密钥

导读:据外媒TheNextWeb报道,美国Web托管服务商Hostinger在日前发生了包含1400万用户信息的数据库被“未经授权的第三方”访问事件。随后,Hostinger决定采取“预防措施”——整

GitHub遭黑客攻击:窃取数百源码并勒索比特币

大数据文摘编辑部出品五一过后,一些程序员查看自己托管到GitHub上的代码时发现,他们的源代码和Repo都已消失不见,上周四,一位Reddit用户写了一篇帖子,说他的存储库被黑了。代码也被删除了,取而

开曼国家银行已证实被黑客入侵:2.21 TB数据惨遭泄露

“或许这只是冰山一角,其背后还隐匿着更多的深海冰川。”开曼群岛——一个吸引人的财政天堂。近日,据外媒报道,匿名黑客入侵了开曼国家银行,并泄露了2.21TB数据,此外,他还向其他黑客提供100,000美

Facebook数据再泄露 5.4亿数据曝光于AWS服务器

网络安全公司UpGuard最近的一份报告显示,两家第三方Facebook应用程序开发商被发现以公开的方式将用户数据存储在亚马逊的云服务器上。据UpGuard称,其中一家公司CulturaColecti

为什么我3岁的儿子有不良信用记录?儿童数据泄露问题暗潮汹涌

大数据文摘出品作者:林安安、蒋宝尚2019年初,在暗网(darkweb)上出现了一波特别的数据集贩卖。这一次的泄露的数据不同以往,其信息所属者多是3-20岁的未成年人。具体来说是1998年到2015年

比起黑客,员工无意识的数据泄露可能更可怕

国外nCipherSecurity公司发布的2019年全球加密趋势研究显示,员工失误被列为企业数据泄露的最高风险,员工使用的公司网络设备应该受到更多的安全审查。该研究显示,在评估安全风险时,导致敏感数

雅虎数据泄露事件后续:拟1.175亿美元进行赔偿

对于雅虎数据泄露事件,相信大家都不会陌生,甚至不少企业都将雅虎数据泄露事件作为警示,纷纷加强网络安全建设工作。雅虎(Yahoo)目前隶属于Verizon通信公司,近年来也可谓是吃尽了苦头,接二连三的数

数据泄露之后,这5件事能够帮助你降低成本

防范数据泄露对组织而言日益成为一个复杂的问题,数据泄露的平均成本持续上升,根据最新的数据泄露成本报告显示,2019年被调查者的平均成本高达392万美元。尽管保护数据是网络安全的重要组成部分,但被入侵的

全球数据泄露报告:内部威胁成数据安全最大风险!

一份最新报告显示,由现任和离职员工引起的内部威胁使公司容易遭受破坏,并使公司数据面临风险。Code42发布的《2019年全球数据泄露报告》还质疑,是否需要资助和部署正确的数据安全解决方案来阻止内部威胁

02.1. 你好,Go

在开始编写应用之前,我们先从最基本的程序开始。就像你造房子之前不知道什么是地基一样,编写程序也不知道如何开始。因此,在本节中,我们要学习用最基本的语法让Go程序运行起来。 程序 这就像一个传统,在学习

从产品到解决方案,GaussDB与FusionData之我见

摘要:连接、计算和数据是ICT基础设施的三大基石,华为IT产品线副总裁、智能数据与存储领域总裁周跃峰在接受媒体采访时强调,这或许是华为在数据领域全面持续发力的原因之一。时隔不足一个月,华为连续召开两次

超8千Star,火遍Github的Python反直觉案例集!

大数据文摘授权转载作者:SatwikKansal译者:暮晨Python,是一个设计优美的解释型高级语言,它提供了很多能让程序员感到舒适的功能特性。但有的时候,Python的一些输出结果对于初学者来说似

玩转 GitHub Actions,简化 npm 发布流程

Github最近添加了一项名为GithubActions的新功能,为我们带来了一套强大的工作流系统,可以处理各种各样的任务。我们在发布Node.js包时可以使用Actions自动运行测试,然后自动将