颇有 DedeCMS 时代的遗风了——这可不是好话。
InfoQ 2025 年 1 月 20 日电[1]:1 月 20 日,据哔哩哔哩(以下简称“B 站”)网友 @老变态了了了 发布的消息,B 站某程序员利用职位之便,在离职后在 B 站网页版中故意投放恶意代码,这段恶意代码通过这名程序员(真实姓名为倪某成)自己注册的域名加载。
InfoQ 就此事询问了 B 站,暂未得到官方回应。截至发稿时,该恶意代码已被删除。
知情人员透露,此事并非存在技术上的漏洞,属于个人滥用职权进行黑客行为。目前,B 站已第一时间进行处理,开除该员工,并与相关监管部门同步情况。
当然实际上情况更糟。这位前端开发可以轻易地调取任意给定用户的实名验证信息、设备登录记录、会话令牌和各种其他有趣的内容。[1:1]
一件事故的发生,单点故障通常只是导火索,引爆的是背后长期被忽视的带病运行。[2]
职业操守的缺失
从网友们整理的结果来看,倪某因在网络上与人发生口角,心生怨恨,故利用自己的技术权力调取对方的实名认证信息、在网页端植入恶意脚本干扰对方使用网站。[1:2]
这等价于什么呢?在某小区物业上班的甲某与业主乙某因个人原因发生争执,甲某进入门禁管理系统,将乙某的门禁信息删除,导致乙某无法正常进入该小区。且不论甲乙在原来的争执中谁对谁错,甲某私自删除门禁信息这样一个动作本身就表现出来了其职业操守的缺失。
需要再次强调的是:年轻气盛不是毫无底线的挡箭牌。
监管流程的缺失
这件事还暴露出一个重大问题:B 站的网页端发版不需要任何审计即可执行。
倪某被列为哔哩哔哩的专利《视频播放方法、装置、计算机设备及存储介质》的发明人之一[3]。虽然只是三作,但总归是有个名——或许只是挂名。根据其简历来看,自 2023 年 7 月入职哔哩哔哩的他,是 DanmakuX 弹幕播放引擎的负责人[4]。
B 站的弹幕播放器可谓是这个视频网站的核心体验。一个已经上市的公司,愿意把自己最重要的产品之一托付给一个刚从学校出来一年不到的年轻人,这种环境我是很向往的。也许倪某确实有两把刷子,他可以胜任这样一份工作;也许 DanmakuX 还没有正式上线,这个我们无从得知。
所以,一个更有意思的可能性是:倪某本人就是唯一的最终代码审计,他可以放行任何代码到生产环境当中。月薪过万的他,很有可能就已经坐上前端主管的位置了。如此一来,再多的下层审计对他而言也是形同虚设。这也很容易解释为什么他可以直接调用敏感接口:无论是实名信息,还是登录会话,对于能直接访问生产环境的他想要调取自然是易如反掌。
司法行政的缺失
因个人恩怨滥用职权,植入恶意代码攻击特定对象。这种恶意代码属于逻辑炸弹的一种。
比较尴尬的是,国内的司法解释在这一块还是空白。尽管《刑法》第二百八十六条[5]中明文规定:
违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。
违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。
故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的,依照第一款的规定处罚。
最高检也曾发文解释其中的「后果严重」[6]:
……在界定第2款行为“后果严重”时,不需要同时满足“造成计算机信息系统不能正常运行”这一条件。……
但根据实际的判例来看,能够以第二百八十六条起诉的,大多是诸如 DDoS 攻击之类的能够非常清楚地满足「造成计算机信息系统不能正常运行」这一条件的行为[7][8]。关于逻辑炸弹的判例,裁判文书网上还没有相关的索引。这种「对于公众信任的损害」,现在还没有合适的条例去控制。
何去何从?
檄文各位网友已经写得够多了。考虑到「指着鼻子骂」和「阴阳怪气地骂」除了发泄情绪以外毫无裨益,我就不随大流了。
比较痛苦而且没辙的是:B 站已经大而不能倒了。即使它做过如此多的错误决策,即使它出现过如此多的运行事故,它由于天然的垄断地位,实际上是很难讨论一个真正意义上的竞争对手的。(是,我知道 A 站还活着呢,但体量总归是小。)
如果你平常去的广场突然有一天发生了持刀行凶案,光天化日之下有人拔刀相向,一死一伤,你还会再去这个广场么?可能这两天会避免,可两周后呢?两个月后呢?两年后呢?互联网的记忆是短暂的。
这次搞的太过分抓到了,那之前搞的不过分的呢?他们所有的软件代码里到底埋了多少雷?有多少暗中搞事情的后门?
强烈建议所有用户从现在开始立刻停用账户,停用 App,提取出所有余额,直接默认自己 B 站账号所有个人信息,历史记录,聊天记录,甚至装过 B 站 App 的手机内所有资料都早就已经全部泄露,来进行进一步应对以减少损失。
作为最终用户的我们,实际上并没有太多选择可用。我们当然可以选择放出这样的核弹,但核爆之下,受影响更多、更明显的,仍然还是我们。
李冬梅. B 站员工向代码投毒“封杀”用户账号,并放话:“拿着一天几千的工资整你”!现已离职[N/OL]. InfoQ. (2025-01-20)[2025-01-22]. https://www.infoq.cn/article/jokXFYUV6VTS0P0v4oJt. ↩︎ ↩︎ ↩︎
Cook R. How Complex Systems Fail[J/TP]. Cognitive Technologies Laboratory, University of Chicago, Chicago IL. 1998. p64-118. ↩︎
赵柏诚, 范路平, 倪袁成, 等. 视频播放方法、装置、计算机设备及存储介质[P]. 上海哔哩哔哩科技有限公司. 2025. CN117896567A. ↩︎
倪袁成. 倪袁成的个人简历[EB/OL]. 倪袁成的博客. (2025)[2025-01-22]. https://web.archive.org/web/20250115094546/https://niyuancheng.top/resume. ↩︎
全国人大常委会办公厅. 中华人民共和国刑法(2020 年修正文本)// 全国人大常委会办公厅. 中华人民共和国全国人民代表大会常务委员会公报 2021 年特刊. 2021[L/TPOL]. 全国人民代表大会. 2020-12-26. p76-77. ↩︎
吴波, 俞小海. 怎样理解“后果严重”与“计算机信息系统数据”[N/TPOL]. 检察日报. (2019-04-19)[2025-01-22]. https://www.spp.gov.cn/spp/llyj/201904/t20190419_415540.shtml. ↩︎
刘淑娟. 第九批指导性案例[EB/OL]. 中华人民共和国最高人民检察院. (2017-10-17)[2025-01-22]. https://www.spp.gov.cn/spp/jczdal/201710/t20171017_202593.shtml. ↩︎
朱玲. 指导性案例告诉你——如何办理破坏计算机信息系统犯罪案件[EB/OL]. 中华人民共和国最高人民检察院. (2021-08-07)[2025-01-22]. https://www.spp.gov.cn/spp/llyj/202108/t20210807_526020.shtml. ↩︎
正在加载评论……