写点什么

大疆前员工通过 Github 泄露公司源代码,被罚 20 万、获刑半年

  • 2019-04-26
  • 本文字数:1236 字

    阅读完需:约 4 分钟

大疆前员工通过Github泄露公司源代码,被罚20万、获刑半年

今日,据南都记者报道,深圳法院近日对大疆源代码泄露案做出一审判决,综合考虑犯罪情节以及自愿认罪、有悔罪表现,以侵犯商业秘密罪判处大疆前员工有期徒刑六个月,并处罚金 20 万人民币。


安全研究人员 Kevin Finisterre 在 2017 年发现了一个漏洞,该漏洞可能会导致将大疆公司的用户数据泄露出去。Kevin 和他的搭档整理了长达 31 页的漏洞报告,指出他们获得了大疆意外发布至 GitHub 的 SSL 认证私钥,从而可以获得储存在大疆服务器上的敏感用户信息。黑客能够利用这些钥匙(密码)访问大疆用户上传的私人数据,不仅是飞行日志和航拍照片,而且还有政府 ID、驾照和护照。在向大疆报告了这一缺陷之后,Finisterre 最初被告知,他的 BUG 报告有资格获得 30000 美元的最高奖金。但是,大疆对 Kevin 开出了条件,要求他签署保密协议。Kevin 表示在双方协商期间,大疆的法务团队曾发给他一封邮件,表示如果不签署将会使用《计算机欺诈和滥用法》起诉他。因此他最终决定放弃这笔奖金,并公开了自己的经历,同时发表了一篇文章《为什么我放弃了大疆的3w奖金》,引起了媒体轰动。


随后经过大疆公司的调查,这个漏洞是大疆的一名前员工,将含有公司农业无人机的管理平台和农机喷洒系统两个模块的代码上传至 GitHub 网站的“公有仓库”,造成了源代码泄露。据悉,该员工之前在大疆的子公司担任软件工程师,负责编写农业无人机的管理平台和农机喷洒系统代码。他在 Github 开设账号,并建立了“公有仓库”,私自上传了代码。



图片来源:http://www.digitalmunition.com/WhyIWalkedFrom3k.pdf


Kevin 表示自己是通过 Github 搜索引擎工具,在大疆的 SkyPixel 照片共享服务源代码中发现了 AWS 私钥,而且一些大疆 AWS 账号被设置为可公开访问。这些可以让黑客在大疆服务器下载包括飞行日志在内的用户资料,甚至还有一些拍摄者被无人机螺旋桨切伤的照片。更夸张的是,这些代码明晃晃的挂在 Github 上超过了 4 年!



事后,这位员工第一时间删除了相关代码,并积极配合调查,防止事态扩大。他在推特上表示,“无意泄露了大疆的机密”、“我很后悔自己没有法律意识,我愿意承担相应的法律责任。”


但是经鉴定,大疆这些泄露出去的代码具有非公知性,且已用于该公司农业无人机产品,属于商业秘密。经评估,泄漏事件给大疆造成经济损失达 116.4 万元人民币。根据刑法规定,违反权利人关于保守商业秘密的要求,造成严重后果,应当以侵犯商业秘密罪追究刑事责任。

小结

Github 网站是全球最大的代码分享社区,用户数量达到了 3100 万;GitHub 上的企业账号超过 210 万个;目前已经有超过 9600 万个存储库托管在 GitHub 上。经常也会发生一些“有趣”的信息泄露事件。比如去年华住酒店的程序员把带有用户名和密码的数据库访问权限上传到了 GitHub;上周,疑似 B 站前员工“openbilibili”的用户在 Github 上创建“go-common”代码库。B 站站出来说该代码为老版本的后台工程源码,同时发表声明表示已经报案处理。有大疆判刑事件在前,不知道泄露 B 站代码的这位用户将会受到什么样的处罚。


2019-04-26 23:3217323
用户头像
Tina InfoQ高级编辑

发布了 1645 篇内容, 共 1314.4 次阅读, 收获喜欢 4000 次。

关注

评论 1 条评论

发布
用户头像
demo
2019-04-27 23:00
回复
没有更多了
发现更多内容

软件测试——教育机构课程顾问常见黑话大全

程序员阿沐

程序员 软件测试 教育 机构 教育培训

聪明人的训练(二十二)

Changing Lin

4月日更

轻松带你学习java-agent

华为云开发者联盟

Java Trace Java虚拟机 java-agent 挂载

前端DDD总结与思考

白玉兰开源

大前端 DDD

重磅来袭:Spring之RequestBody的使用姿势小结

学Java关注我

Java 编程 架构 技术 程序人生

智汇华云 | ArSDN打通软件定义数据中心的“任督二脉”

华云数据

一文搞定 Flink Job 的运行过程

shengjk1

flink flink源码 flink源码分析

4行指令解决pip下载Python第三方库太慢问题(pip更换国内下载源)

不脱发的程序猿

Python pip 4月日更 Python库安装

前端规范之路

白玉兰开源

大前端 开发规范

知识分享:SQL注入的流程和步骤

Thrash

sql

0门槛成为“技术牛人”!星环科技线上分享课“星课堂”开播,快来报名,一探究竟

星环科技

人工智能 数据库 云计算 大数据 直播技术

分布式锁之Redis实现

Sakura

4月日更

彻底搞懂ThreadLocal

千珏

Java 源码分析 多线程 ThreadLocal

肝了15000字性能调优系列专题(JVM、MySQL、Nginx and Tomcat),看不完先收藏

北游学Java

Java MySQL nginx tomcat JVM

GitHub惊现!JVM G1GC的算法+实现,90张图+33段代码,你的面试专属!

Java架构师迁哥

GitHub开源:17M超轻量级中文OCR模型、支持NCNN推理

不脱发的程序猿

人工智能 GitHub 开源 OCR 4月日更

一入爬虫深似海,从此早睡是路人

Thrash

【转载】图形化系统开发组件X-Series(一)——XrossUnit介绍

赫杰辉

华云大咖说 | 华云数据与数科网维携手共建国产云生态

华云数据

家务活中的python协程

行者AI

协程 python学习

什么是Selenium?使用Selenium进行自动化测试

码语者

DevOps selenium

前端⼤规模构建演进实践

白玉兰开源

架构 大前端

从源码分析 MySQL 死锁问题入门

比伯

Java 编程 程序员 架构 计算机

Redis的适用场景简单剖析

大数据技术指南

redis 4月日更

简简单单才是真,初试 Svelte

LeanCloud

https如何使用python+flask来实现

华为云开发者联盟

Python flask https ssl HTTP协议

阿里巴巴的“双11”高并发秒杀终极版教程!(Java语言设计)

Java架构追梦

Java 阿里巴巴 架构 面试 秒杀架构设计

Golang 对象池

escray

学习 极客时间 Go 语言 4月日更

2020年12月的面试经历:美团4面+字节4面(均已拿offer),面试真题分享

Java架构师迁哥

【转载】提高系统开发效率的“银弹”——X-series可视化大规模应用开发工具集

赫杰辉

Redis为什么是单线程?高并发响应快?

Linux服务器开发

redis Linux服务器开发 网络io C++后端开发 单线程

大疆前员工通过Github泄露公司源代码,被罚20万、获刑半年_开源_Tina_InfoQ精选文章