在 GitHub 公开源码,造成百万损失,大疆程序员被判 6 个月,罚款 20 万
(给技术最前线加星标,每天看技术热点)
原创整理:程序员的那些事(id:iProgrammer)
4 月 22 日,某站源码在 GitHub 突然被开源,虽然 GitHub 站方出面封掉了首个暴露的代码库,但后续还是有很多人继续主动在 GitHub 新建代码仓库公开传播某站后台源码。
我们此前在微博上呼吁不要那样做,因为涉嫌违法了。但还劝不住他们
今天来看一个相似案例,都是商业公司源码在 GitHub 被开源泄露了。
近日,深圳法院对大疆源代码泄露案做出一审判决,综合考虑犯罪情节以及自愿认罪、有悔罪表现,以侵犯商业秘密罪判处大疆前员工有期徒刑六个月,并处罚金 20 万人民币。 据悉,这些泄露出去的代码,已用于该公司农业无人机产品,具有实用性。尽管大疆公司采取了合理的保密措施,但该次事件依然给大疆造成经济损失 116.4 万元人民币。 —— 4 月 26 日,南方都市报报道
大疆是如何知道源码被泄露了?
据报道,大疆曾于 2017 年 8 月推出漏洞悬赏计划,奖金金额从 100-30,000 美元不等,涉及的问题包括软件安全、飞行安全以及应用程序稳定性等。
大疆漏洞悬赏计划公开发布后,有个安全研究员 Kevin Finisterr 发现了大疆一个非常严重的漏洞。Kevin 和大疆先确认他发现的漏洞属于悬赏计划,然后和搭档整理出一份长达 31 页的漏洞报告。
Kevin 在报告中透露,他们是从 GitHub 上的公开代码仓库发现了大疆的 SSL 私钥和 AES 私钥。
攻击者就能利用公开的私钥,访问存储在大疆服务器上的客户敏感信息,从而可能导致大疆服务器上的用户信息、飞行日志等私密信息能被下载泄露。
大疆程序员在 GitHub 公开代码
经大疆公司的调查,发现子公司的一名员工把他负责编码实现的(农业无人机的管理平台)和(农机喷洒系统)两个模块的代码,上传到 GitHub 建立的公开代码仓库,从而造成了源码泄露。
案发后,该员工第一时间在 GitHub 上删除了相关代码仓库,并积极配合调查,防止事态扩大。他在给 Kevin 的邮件中表示,“无意泄露了大疆的机密”、“我很后悔自己没有法律意识,我愿意承担相应的法律责任。”
(Kevin 在推特公布泄密员工发给他的邮件)
由这个案例可见,不管公司保护源码措施再怎么完善,都扛不住自家员工主动公开泄密……
【附1】:有多少人在 GitHub 上泄露明文密码?
除了主动泄露私钥,还有很多人在 GitHub 上把登录信息和明文密码也都一起开源的。
2017 年 2 月,我们发过一条微博:
在 GitHub 上搜索 remove password,有 283,417 条 commit 记录。
2019 年 4 月 27 日,在 GitHub 上搜索 remove password,有 484,260 条 commit 记录。
【附2】:什么是侵犯商业秘密罪?
根据《中华人民共和国刑法》第二百一十九条规定,侵犯商业秘密罪,是指以盗窃、利诱、胁迫或者其他不正当手段获取权利人的商业秘密,或者非法披露、使用或者允许他人使用其所掌握的或获取的商业秘密,给商业秘密的权利人造成重大损失的行为。
侵犯商业秘密行为,给商业秘密的权利人造成重大损失的,处三年以下有期徒刑或者拘役,并处或者单处罚金;造成特别严重后果的,处三年以上七年以下有限徒刑,并处罚金。可以根据情节处以一万元以上二十万元以下的罚款。
推荐阅读
(点击标题可跳转阅读)
觉得这条资讯有帮助?请转发给更多人
关注 技术最前线 加星标,看 IT 要闻
最新业界资讯,我在看❤️