B站源代码遭泄露 用户数据隐私受“威胁”

CBC2018年期刊VOL45 2019-05-12 1794 0
4月22日,哔哩哔哩弹幕网(以下简称“B站”NASDAQ:BI-LI)遭遇代码外泄,其后台工程代码被上传至开源项目平台GitHub上,暴露出该网站在“节奏风暴抽奖活动”中“注水”抽奖成功率、涉嫌侵害消费者合法权益的问题,上海市消保委由此两度约谈了B站运营主体上海宽娱数码科技有限公司。事件发生后,B站股价盘前下跌4.07%,美国存托凭证16.74美元/股。

B站源代码遭泄露 用户数据隐私受“威胁”


B站表示,经内部核查,确认该部分代码属于较老的历史版本,目前网站已执行主动防御措施,确保不会影响到网站安全和用户数据安全。


不过,有业内人士告诉《中国经营报》记者,“如果是老版本的话,这些代码也不会带用户信息的,但目前网上泄露的代码有好多用户信息,明显不是官方公布的那样。”对此,本报记者求证B站公关,对方表示暂时没有回应。


源代码遭泄露


在开源及私有软件项目托管平台GitHub上,出现了名为“哔哩哔哩bilibili网站后台工程源码”的项目。


4月22日下午,有爆料称,B站整个网站后台工程源码泄露,并且“不少用户密码被硬编码在代码里面,谁都可以用。”


当天,在开源及私有软件项目托管平台GitHub上,出现了名为“哔哩哔哩bilibili网站后台工程源码”的项目。据悉,该项目由账号“openbilibili”创建,由于网站的开源性质,登录网站者均可使用。


与此同时,B站源代码被泄露,也暴露出该网站在“节奏风暴抽奖活动”中“注水”抽奖成功率、涉嫌侵害消费者合法权益的问题,代码中有备注显示“抽奖不成功也要发送弹幕,概率20%,造成一种很多人中奖的假象”。由此,上海市消保委两度约谈了上海宽娱数码科技有限公司。


一位熟悉直播的人士告诉记者,“节奏风暴”是个直播道具特效,抽奖活动是指直播间里没有买这个特效的用户,可以一起参与,当他们点击“节奏风暴”的特效时,就会自动发送一条弹幕。从点击“节奏风暴”效果的用户中抽取100位,领取免费小道具(此道具是用来增加亲密度和经验值)。其他用户再点击就领不到了,但是也会自动发弹幕,活跃氛围。而凡是中奖用户,都会有单独的弹窗提示。


上述人士透露,这个“节奏风暴”不涉及现金交易,已经向消保委解释清楚。记者就此事致电上海市消保委,截至目前尚未获得回复。


而B站公关接受记者采访时表示,“设计此功能是为了活跃弹幕氛围,并不涉及现金交易;功能设计确实存在争议点,我们已经将该功能下线整改。”


源代码为何会被泄露


现在看来,可能隐藏着根本性的漏洞,而且这些漏洞恐怕会很难修复。


艾媒咨询分析师李松霖接受记者采访时表示,“无论泄露的是什么时间段的版本,都已经对B站造成负面冲击。”据悉,在4月22日,B站股价盘前下跌4.07%。


一位技术人员向记者透露,代码泄露有两种可能性。一是代码的开发人员,有可能是某个程序员泄露的,可能意识不到代码的安全性,出于炫耀等原因,把代码分享到GitHub。


二是服务器的安全出现了问题。“比如服务器被人破解了,别人上你的服务器拷点东西。”这位人士解释说,“另外还有一些小企业用虚拟空间,就是因为做服务器的成本很大,而虚拟空间的成本很低,但安全性特别差。”


如果有人想通过后端代码攻击B站,无需再进行逆向工程猜测运作原理和漏洞位置,可以直接从代码中找到很多漏洞。


业内人士称,这段代码很有可能是当初构建B站的底层代码,现在看来,可能隐藏着根本性的漏洞,而且这些漏洞恐怕会很难修复。而B站又不能重新构架,耗时耗力去重写。


用户数据隐私急需保护


即使泄露的代码版本较旧,都会对用户信息安全造成不良的影响。


李松霖说,对于B站这种影响力大的平台,代码泄露涉及到用户的数据,会对用户信心造成冲击,影响用户对B站本身的信任度。另一方面,B站作为上市企业,代码泄露事件也会影响它在资本市场上的表现。


“很直观的一点就是B站会暴露出一些安全隐患。”李松霖说,因为在源代码泄露的这段时间,很有可能代码已经被拷贝,而作为B站的底层构建,修复它们需要花费较长时间,如果接下来有人想要针对B站做出一些威胁性的操作,用户的账户安全容易受到威胁。


此外,B站在二次元市场中具有较高的注册用户量,且用户黏性相对较高,所以即使泄露的代码版本较旧,都会对用户信息安全造成不良的影响。因为部分用户在互联网上习惯使用相同账户密码,所以信息泄露对于其他产品的使用都会造成安全风险。


记者查询艾媒北极星发现,B站在2019年3月的月活人数为7284万。其中,男性占比61.04%,24岁及以下人群占比67.02%。


上述业内人士告诉记者,用户的注册信息,比如姓名、邮箱、手机等数据,“这类数据可以导出库,去任意大的网络平台尝试,因为有很多人的注册信息是一样的,有可能破解其他平台的账户,”他举例说,“比如,有好多明星在没有丢失任何电子设备的情况下,iCloud账户被破解。”


(李昆昆、张靖超 中国经营报)

我也说一句

已经有条评论

全部评论

    上一篇:有多少离职,是由于不被认可而发生的? 在职场的我们看起来强大,其实无异于孩童。

    下一篇:百度、字节跳动互相起诉,索赔9000万元

    QQ空间 新浪微博 豆瓣网 微信

    请先来登录吧

    没有经营者账号?立即注册
    忘记密码?

    请先来注册吧

    已有经营者账号?立即登录

      报名成功!

      请保持手机正常使用,我们会随时与你联系确认

      知道了

      加入班级成功!

      请保持手机正常使用,我们会随时与你联系确认

      知道了