写点什么

大疆前员工通过 Github 泄露公司源代码,被罚 20 万、获刑半年

  • 2019-04-26
  • 本文字数:1236 字

    阅读完需:约 4 分钟

大疆前员工通过Github泄露公司源代码,被罚20万、获刑半年

今日,据南都记者报道,深圳法院近日对大疆源代码泄露案做出一审判决,综合考虑犯罪情节以及自愿认罪、有悔罪表现,以侵犯商业秘密罪判处大疆前员工有期徒刑六个月,并处罚金 20 万人民币。


安全研究人员 Kevin Finisterre 在 2017 年发现了一个漏洞,该漏洞可能会导致将大疆公司的用户数据泄露出去。Kevin 和他的搭档整理了长达 31 页的漏洞报告,指出他们获得了大疆意外发布至 GitHub 的 SSL 认证私钥,从而可以获得储存在大疆服务器上的敏感用户信息。黑客能够利用这些钥匙(密码)访问大疆用户上传的私人数据,不仅是飞行日志和航拍照片,而且还有政府 ID、驾照和护照。在向大疆报告了这一缺陷之后,Finisterre 最初被告知,他的 BUG 报告有资格获得 30000 美元的最高奖金。但是,大疆对 Kevin 开出了条件,要求他签署保密协议。Kevin 表示在双方协商期间,大疆的法务团队曾发给他一封邮件,表示如果不签署将会使用《计算机欺诈和滥用法》起诉他。因此他最终决定放弃这笔奖金,并公开了自己的经历,同时发表了一篇文章《为什么我放弃了大疆的3w奖金》,引起了媒体轰动。


随后经过大疆公司的调查,这个漏洞是大疆的一名前员工,将含有公司农业无人机的管理平台和农机喷洒系统两个模块的代码上传至 GitHub 网站的“公有仓库”,造成了源代码泄露。据悉,该员工之前在大疆的子公司担任软件工程师,负责编写农业无人机的管理平台和农机喷洒系统代码。他在 Github 开设账号,并建立了“公有仓库”,私自上传了代码。



图片来源:http://www.digitalmunition.com/WhyIWalkedFrom3k.pdf


Kevin 表示自己是通过 Github 搜索引擎工具,在大疆的 SkyPixel 照片共享服务源代码中发现了 AWS 私钥,而且一些大疆 AWS 账号被设置为可公开访问。这些可以让黑客在大疆服务器下载包括飞行日志在内的用户资料,甚至还有一些拍摄者被无人机螺旋桨切伤的照片。更夸张的是,这些代码明晃晃的挂在 Github 上超过了 4 年!



事后,这位员工第一时间删除了相关代码,并积极配合调查,防止事态扩大。他在推特上表示,“无意泄露了大疆的机密”、“我很后悔自己没有法律意识,我愿意承担相应的法律责任。”


但是经鉴定,大疆这些泄露出去的代码具有非公知性,且已用于该公司农业无人机产品,属于商业秘密。经评估,泄漏事件给大疆造成经济损失达 116.4 万元人民币。根据刑法规定,违反权利人关于保守商业秘密的要求,造成严重后果,应当以侵犯商业秘密罪追究刑事责任。

小结

Github 网站是全球最大的代码分享社区,用户数量达到了 3100 万;GitHub 上的企业账号超过 210 万个;目前已经有超过 9600 万个存储库托管在 GitHub 上。经常也会发生一些“有趣”的信息泄露事件。比如去年华住酒店的程序员把带有用户名和密码的数据库访问权限上传到了 GitHub;上周,疑似 B 站前员工“openbilibili”的用户在 Github 上创建“go-common”代码库。B 站站出来说该代码为老版本的后台工程源码,同时发表声明表示已经报案处理。有大疆判刑事件在前,不知道泄露 B 站代码的这位用户将会受到什么样的处罚。


2019-04-26 23:3216473
用户头像
Tina InfoQ高级编辑

发布了 1470 篇内容, 共 1082.3 次阅读, 收获喜欢 3808 次。

关注

评论 1 条评论

发布
用户头像
demo
2019-04-27 23:00
回复
没有更多了
发现更多内容

国内外好用的OKR管理工具有哪些?

爱吃小舅的鱼

攻克MySQL-索引基础

javaadu

MySQL 面试题 索引

mxGraph教程-开发入门指南

No Silver Bullet

流程图 2月月更 mxGraph

攻克MySQL—索引优化

javaadu

MySQL 面试题 索引

模块八

Only

架构师实战营 「架构实战营」

过完年了, 为明年设计一个春联自动生成器, 给大家助助兴

DS小龙哥

2月月更

【Python】这个列表TTT熟悉

謓泽

Python 2月月更

Go 语言入门很简单:Go 反射

宇宙之一粟

掌握这20个JS技巧,做一个不加班的前端人

华为云开发者联盟

JavaScript 数组 箭头函数 逻辑运算符 计数器对象

学生管理系统详细架构设计

Geek_8d5fe5

架构实战营

人大代表谈“元宇宙”:把握机遇,加速布局

CECBC

如何在 Vue 中使用 Chart.js - 手把手教你搭可视化数据图表

蒋川

Vue Vue 3

SSR 和前端编译,在这点上是一样的

CRMEB

Pandas+Seaborn+Plotly:联手探索苹果AppStore

Peter

数据挖掘 数据分析 可视化 Kaggle

互联网产品管理课-笔记(16/100)

hackstoic

产品

亿级数据量场景下,如何优化数据库分页查询方法

华为云开发者联盟

MySQL 缓存 查询 数据表 分页查询

实践GoF的23种设计模式:SOLID原则

元闰子

设计模式 SOLID

跨平台应用开发进阶(五) :uni-app 实现列表项左划操作

No Silver Bullet

uni-app 2月月更 左划删除

如何通过服务提升产品价值?

石云升

产品思维 体验设计 产品分析 2月月更 服务产品化

权威可信 | 华为云云测通过中国电子技术标准院软件测试工具能力评价

华为云开发者联盟

软件测试 测试 华为云 测试工具 华为云云测

一次历史漏洞分析与复现的全部过程

H

网络安全

从俄乌战争看区块链技术在未来国防领域的应用

CECBC

能源产业数字化转型:区块链如何“炼”?

CECBC

书单

林逸民

学习 读书

【干货】Servlet内存马加载流程分析

网络安全学海

黑客 网络安全 信息安全 渗透测试 安全漏洞

设计千万级学生管理系统的考试试卷存储方案

王大胖

最好用的 7 款 Vue admin 后台管理系统测评 - 卡拉云

蒋川

Vue Vue 3 vue cli

梦幻联动!金蝶&华为云面向大企业发布数据库联合解决方案

华为云开发者联盟

数据库 华为云 数据管理 GaussDB(for openGauss) 金蝶

【ELT.ZIP】OpenHarmony啃论文俱乐部——综述视角解读压缩编码

ELT.ZIP

鸿蒙 OpenHarmony 数据压缩

NFT盲盒商城系统开发技术

薇電13242772558

NFT

精选22个pandas实用函数

Peter

Python 数据分析 pandas

大疆前员工通过Github泄露公司源代码,被罚20万、获刑半年_开源_Tina_InfoQ精选文章