B站表示,经内部核查,确认该部分代码属于较老的历史版本,目前网站已执行主动防御措施,确保不会影响到网站安全和用户数据安全。
不过,有业内人士告诉《中国经营报》记者,“如果是老版本的话,这些代码也不会带用户信息的,但目前网上泄露的代码有好多用户信息,明显不是官方公布的那样。”对此,本报记者求证B站公关,对方表示暂时没有回应。
在开源及私有软件项目托管平台GitHub上,出现了名为“哔哩哔哩bilibili网站后台工程源码”的项目。
4月22日下午,有爆料称,B站整个网站后台工程源码泄露,并且“不少用户密码被硬编码在代码里面,谁都可以用。”
当天,在开源及私有软件项目托管平台GitHub上,出现了名为“哔哩哔哩bilibili网站后台工程源码”的项目。据悉,该项目由账号“openbilibili”创建,由于网站的开源性质,登录网站者均可使用。
与此同时,B站源代码被泄露,也暴露出该网站在“节奏风暴抽奖活动”中“注水”抽奖成功率、涉嫌侵害消费者合法权益的问题,代码中有备注显示“抽奖不成功也要发送弹幕,概率20%,造成一种很多人中奖的假象”。由此,上海市消保委两度约谈了上海宽娱数码科技有限公司。
一位熟悉直播的人士告诉记者,“节奏风暴”是个直播道具特效,抽奖活动是指直播间里没有买这个特效的用户,可以一起参与,当他们点击“节奏风暴”的特效时,就会自动发送一条弹幕。从点击“节奏风暴”效果的用户中抽取100位,领取免费小道具(此道具是用来增加亲密度和经验值)。其他用户再点击就领不到了,但是也会自动发弹幕,活跃氛围。而凡是中奖用户,都会有单独的弹窗提示。
上述人士透露,这个“节奏风暴”不涉及现金交易,已经向消保委解释清楚。记者就此事致电上海市消保委,截至目前尚未获得回复。
而B站公关接受记者采访时表示,“设计此功能是为了活跃弹幕氛围,并不涉及现金交易;功能设计确实存在争议点,我们已经将该功能下线整改。”
现在看来,可能隐藏着根本性的漏洞,而且这些漏洞恐怕会很难修复。
艾媒咨询分析师李松霖接受记者采访时表示,“无论泄露的是什么时间段的版本,都已经对B站造成负面冲击。”据悉,在4月22日,B站股价盘前下跌4.07%。
一位技术人员向记者透露,代码泄露有两种可能性。一是代码的开发人员,有可能是某个程序员泄露的,可能意识不到代码的安全性,出于炫耀等原因,把代码分享到GitHub。
二是服务器的安全出现了问题。“比如服务器被人破解了,别人上你的服务器拷点东西。”这位人士解释说,“另外还有一些小企业用虚拟空间,就是因为做服务器的成本很大,而虚拟空间的成本很低,但安全性特别差。”
如果有人想通过后端代码攻击B站,无需再进行逆向工程猜测运作原理和漏洞位置,可以直接从代码中找到很多漏洞。
业内人士称,这段代码很有可能是当初构建B站的底层代码,现在看来,可能隐藏着根本性的漏洞,而且这些漏洞恐怕会很难修复。而B站又不能重新构架,耗时耗力去重写。
即使泄露的代码版本较旧,都会对用户信息安全造成不良的影响。
李松霖说,对于B站这种影响力大的平台,代码泄露涉及到用户的数据,会对用户信心造成冲击,影响用户对B站本身的信任度。另一方面,B站作为上市企业,代码泄露事件也会影响它在资本市场上的表现。
“很直观的一点就是B站会暴露出一些安全隐患。”李松霖说,因为在源代码泄露的这段时间,很有可能代码已经被拷贝,而作为B站的底层构建,修复它们需要花费较长时间,如果接下来有人想要针对B站做出一些威胁性的操作,用户的账户安全容易受到威胁。
此外,B站在二次元市场中具有较高的注册用户量,且用户黏性相对较高,所以即使泄露的代码版本较旧,都会对用户信息安全造成不良的影响。因为部分用户在互联网上习惯使用相同账户密码,所以信息泄露对于其他产品的使用都会造成安全风险。
记者查询艾媒北极星发现,B站在2019年3月的月活人数为7284万。其中,男性占比61.04%,24岁及以下人群占比67.02%。
上述业内人士告诉记者,用户的注册信息,比如姓名、邮箱、手机等数据,“这类数据可以导出库,去任意大的网络平台尝试,因为有很多人的注册信息是一样的,有可能破解其他平台的账户,”他举例说,“比如,有好多明星在没有丢失任何电子设备的情况下,iCloud账户被破解。”
(李昆昆、张靖超 中国经营报)
全部评论