嗶哩嗶哩,你家后院著火了!
前兒個,日常在B站上看看本山大爺的視頻,聽聽吳亦凡的大碗面。突然彈幕畫風突變,評論區集體喊話 B 站,“你家后院著火了”。
原來,bilibili 的網站后臺源碼被發到了 GitHub 上。消息傳出后,Star 數量在 4 點半就突破了 2000,到了下午 5 點,Star 數已經達到 6000,最終創下了一天斬獲 9000+ 的驚人紀錄。
GitHub 顯示該項目作者為 openbilibili,這是一個 4 月 22 日(也就是昨天)才注冊的賬號。很顯然就是為了發布這個項目才注冊了 Git。另外,項目名 go-common,能猜到這就是一個用 Go 語言寫的支持庫。
下圖為項目描述:
另外,還有負責人信息:
一位資深后端技術人員分析稱,上述曝光的源碼疑似 B 站的后端工程源代碼,B 站可能就是或者曾經使用上述代碼部署網站的。
當天,B 站通過官方微博針對網站工程源代碼被泄露一事進行回應,公告稱有部分 B 站工程代碼在網上流傳,經內部緊急核查,確認該部分代碼屬于較老的歷史版本。
網站已經執行了主動的防御措施,確認此事件不會影響到網站安全和用戶數據安全。
截至發文,該聲明已被刪除
這個項目到 5 點 20 分左右才被關閉掉,不過當時已經有超過 9000 的 Star,有超過 6000 的 Fork 了,也就是說這個項目已經被備份 6000 多次且不可連帶刪除,這基本屬于無可挽回操作。
泄露影響,代碼背后的黑洞
根據技術人員分析,B 站的這份聲明有待商榷,畢竟通過代碼分析,會發現有最近時間標志的代碼。
而且泄露的后臺工程源碼中,除去部分用戶的賬號與密碼之外,還有著許多用戶們尚不知曉的“內幕”,甚至連簽約 UP 的粉絲量、播放量等關鍵數據都可以經過系統進行作弊虛假處理。
透過后臺工程源碼的注釋可以看出,號稱“良心”、“凈土”的 B 站其實也有著大量我們看不到的“潛規則”的。
很 B 站的注釋
也就是說這份代碼泄露會導致 B 站代碼的很多隱患將會被曝出來。如果黑客想通過 B 站后端代碼攻 擊 B 站,以前他需要做的事情是逆向 B 站的代碼,猜測其運作原理和漏洞位置,但是現在他可以直接閱讀源碼,從中找到很多不為人知的漏洞。
這就為某些黑產提供了便利,例如,他會利用這份代碼找到視頻方面的漏洞然后盜取未公開視頻;通過連接到后臺數據庫做一些提權,獲取用戶信息。
另一方面,源代碼泄露還意味著,某些人可以以此為參照,復制出一套成熟的后端架構,然后做出 zilizili 或者 yiliyili 等網站。
隨著 B 站的發展,其業務范圍也在不斷擴大,游戲代理、大會員、激勵計劃等的加入也賦予了曾經功能單一的 B 站賬號大量的經濟價值,若是大量賬號失竊,其經濟損失將難以估計。
背后暴露的問題
目前,代碼的泄露人和泄露原因尚不清楚,有謠言稱事情是一個被裁員的程序員的報復。
不管傳言是否準確,如此重大的代碼泄露事件仍然是一件值得探討的問題。
亦有知乎網友表示,這一泄露已經觸犯到了法律,如果 B 站追責,且不說這位程序員在業內混不下去,還有可能坐牢。
程序員作為雇員與雇主之間的矛盾一直處在不可調和階段,前段時間一位程序員發起的 996.icu 的 repo 現在依然霸占著 GitHub 流行度的月榜、周榜以及日榜。
這也充分的說明了程序員現有的表達訴求的正常渠道似乎沒有宣傳的那么有效。
雇員與雇主之間并不是仇敵,兩者有著共同的利益訴求,畢竟都想把蛋糕做大,能夠分得更多的利益。
協調溝通只是其中的一種方式,更多的矛盾觸發點應該是這塊蛋糕如何分配。
如果利益矛盾真的到了不可調和的地步,畢竟,光腳的不怕穿鞋的,往日程序員刪庫跑路的案例比比皆是,程序員鎖死服務器、刪庫跑路,公司解散虧 XXX 萬的新聞也是發生過的。
另一方面,這也暴露了互聯網軟件行業中的通病——開發與業務相互割裂。
這次源代碼中暴露的問題不僅僅是 B 站的,阿里云以前也出過看上去非常不可思議的小錯誤,微博也曾經因為明星事件多次出現服務器宕機。
本質上,這或許也暴露了研發、開發人員和業務的割裂。研發人員一般開發中間件服務,不太會從業務的角度去考慮實際的應用問題,更不會管你的應用是不是有問題。
可開發人員開發出的服務才是面向最終用戶的,技術開發一定要從整體全面考慮,尤其要重視最末端的開發,面向用戶的業務代碼一定要注意。
另外,此次暴露出的行業安全問題也不能不重視。研究人員發現,GitHub 仍然存在數千個可公開訪問的加密密鑰。
GitHub 上的 100,000 多個代碼存儲庫包含訪問密鑰,可以為攻 擊者提供對這些存儲庫(repos)或在線服務提供商服務的特權訪問。
北卡羅來納州立大學(NCSU)的研究人員在近六個月內掃描了近 13% 的 GitHub 公共存儲庫。
在一篇揭示調查結果的論文中,他們說:“我們發現不僅秘密泄漏普遍存在 ——影響超過 100,000 個存儲庫,而且每天都有數千個新的,獨特的秘密被泄露。”
現代公司對于數字化資產的私密度、保護意識急需加強。網絡安全形勢嚴峻,多數企業已經有了完善的態勢感知和應急體系,及時發現、及時處理才能將安全事件的損害降到最低。
