查看原文
其他

在 GitHub 公开源码,造成百万损失,大疆程序员被判 6 个月,罚款 20 万

程序员的那些事 程序员的那些事 2019-07-30

(给程序员的那些事加星标

原创整理:程序员的那些事(id:iProgrammer)

4 月 22 日,某站源码在 GitHub 突然被开源,虽然 GitHub 站方出面封掉了首个暴露的代码库,但后续还是有很多人继续主动在 GitHub 新建代码仓库公开传播某站后台源码。


我们此前在微博上呼吁不要那样做,因为涉嫌违法了。但还劝不住他们,甚至有人认为某站《保护自己源码的能力都没有?还拿法律说事……


今天来看一个相似案例,都是商业公司源码在 GitHub 被开源泄露了。

近日,深圳法院对大疆源代码泄露案做出一审判决,综合考虑犯罪情节以及自愿认罪、有悔罪表现,以侵犯商业秘密罪判处大疆前员工有期徒刑六个月,并处罚金 20 万人民币。

据悉,这些泄露出去的代码,已用于该公司农业无人机产品,具有实用性。尽管大疆公司采取了合理的保密措施,但该次事件依然给大疆造成经济损失 116.4 万元人民币。
—— 4 月 26 日,南方都市报报道


大疆是如何知道源码被泄露了?


据报道,大疆曾于 2017 年 8 月推出漏洞悬赏计划,奖金金额从 100-30,000 美元不等,涉及的问题包括软件安全、飞行安全以及应用程序稳定性等。


大疆漏洞悬赏计划公开发布后,有个安全研究员 Kevin Finisterr 发现了大疆一个非常严重的漏洞。Kevin 和大疆先确认他发现的漏洞属于悬赏计划,然后和搭档整理出一份长达 31 页的漏洞报告


Kevin 在报告中透露,他们是从 GitHub 上的公开代码仓库发现了大疆的 SSL 私钥和 AES 私钥。


攻击者就能利用公开的私钥,访问存储在大疆服务器上的客户敏感信息,从而可能导致大疆服务器上的用户信息、飞行日志等私密信息能被下载泄露。


大疆程序员在 GitHub 公开代码


经大疆公司的调查,发现子公司的一名员工把他负责编码实现的(农业无人机的管理平台)和(农机喷洒系统)两个模块的代码,上传到 GitHub 建立的公开代码仓库,从而造成了源码泄露。


案发后,该员工第一时间在 GitHub 上删除了相关代码仓库,并积极配合调查,防止事态扩大。他在给 Kevin 的邮件中表示,“无意泄露了大疆的机密”、“我很后悔自己没有法律意识,我愿意承担相应的法律责任。


(Kevin 在推特公布泄密员工发给他的邮件)


由这个案例可见,不管公司保护源码措施再怎么完善,都扛不住自家员工主动公开泄密……


【附1】:有多少人在 GitHub 上泄露明文密码?


除了主动泄露私钥,还有很多人在 GitHub 上把登录信息和明文密码也都一起开源的。


2017 年 2 月,我们发过一条微博:

在 GitHub 上搜索 remove password,有 283,417 条 commit 记录。


2019 年 4 月 27 日,在 GitHub 上搜索 remove password,有 484,260 条 commit 记录。


【附2】:什么是侵犯商业秘密罪?


根据《中华人民共和国刑法》第二百一十九条规定,侵犯商业秘密罪,是指以盗窃、利诱、胁迫或者其他不正当手段获取权利人的商业秘密,或者非法披露、使用或者允许他人使用其所掌握的或获取的商业秘密,给商业秘密的权利人造成重大损失的行为


侵犯商业秘密行为,给商业秘密的权利人造成重大损失的,处三年以下有期徒刑或者拘役,并处或者单处罚金;造成特别严重后果的,处三年以上七年以下有限徒刑,并处罚金。可以根据情节处以一万元以上二十万元以下的罚款。


推荐阅读

(点击标题可跳转阅读)

新入职程序员偷公司数据被判 8 个月

离职运维倒卖客户个人信息,被刑拘!

公司拖欠工资,删代码删库跑路,违法么?



关注「程序员的那些事」加星标,不错过圈内事

圈内事,我在看❤️

    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存