大疆前员工通过 Github 泄露公司源代码，被罚 20 万、获刑半年

今日，据南都记者报道，深圳法院近日对大疆源代码泄露案做出一审判决，综合考虑犯罪情节以及自愿认罪、有悔罪表现，以侵犯商业秘密罪判处大疆前员工有期徒刑六个月，并处罚金 20 万人民币。

安全研究人员 Kevin Finisterre 在 2017 年发现了一个漏洞，该漏洞可能会导致将大疆公司的用户数据泄露出去。Kevin 和他的搭档整理了长达 31 页的漏洞报告，指出他们获得了大疆意外发布至 GitHub 的 SSL 认证私钥，从而可以获得储存在大疆服务器上的敏感用户信息。黑客能够利用这些钥匙（密码）访问大疆用户上传的私人数据，不仅是飞行日志和航拍照片，而且还有政府 ID、驾照和护照。在向大疆报告了这一缺陷之后，Finisterre 最初被告知，他的 BUG 报告有资格获得 30000 美元的最高奖金。但是，大疆对 Kevin 开出了条件，要求他签署保密协议。Kevin 表示在双方协商期间，大疆的法务团队曾发给他一封邮件，表示如果不签署将会使用《计算机欺诈和滥用法》起诉他。因此他最终决定放弃这笔奖金，并公开了自己的经历，同时发表了一篇文章《为什么我放弃了大疆的3w奖金》，引起了媒体轰动。

随后经过大疆公司的调查，这个漏洞是大疆的一名前员工，将含有公司农业无人机的管理平台和农机喷洒系统两个模块的代码上传至 GitHub 网站的“公有仓库”，造成了源代码泄露。据悉，该员工之前在大疆的子公司担任软件工程师，负责编写农业无人机的管理平台和农机喷洒系统代码。他在 Github 开设账号，并建立了“公有仓库”，私自上传了代码。

图片来源：http://www.digitalmunition.com/WhyIWalkedFrom3k.pdf

Kevin 表示自己是通过 Github 搜索引擎工具，在大疆的 SkyPixel 照片共享服务源代码中发现了 AWS 私钥，而且一些大疆 AWS 账号被设置为可公开访问。这些可以让黑客在大疆服务器下载包括飞行日志在内的用户资料，甚至还有一些拍摄者被无人机螺旋桨切伤的照片。更夸张的是，这些代码明晃晃的挂在 Github 上超过了 4 年！

事后，这位员工第一时间删除了相关代码，并积极配合调查，防止事态扩大。他在推特上表示，“无意泄露了大疆的机密”、“我很后悔自己没有法律意识，我愿意承担相应的法律责任。”

但是经鉴定，大疆这些泄露出去的代码具有非公知性，且已用于该公司农业无人机产品，属于商业秘密。经评估，泄漏事件给大疆造成经济损失达 116.4 万元人民币。根据刑法规定，违反权利人关于保守商业秘密的要求，造成严重后果，应当以侵犯商业秘密罪追究刑事责任。

小结

Github 网站是全球最大的代码分享社区，用户数量达到了 3100 万；GitHub 上的企业账号超过 210 万个；目前已经有超过 9600 万个存储库托管在 GitHub 上。经常也会发生一些“有趣”的信息泄露事件。比如去年华住酒店的程序员把带有用户名和密码的数据库访问权限上传到了 GitHub；上周，疑似 B 站前员工“openbilibili”的用户在 Github 上创建“go-common”代码库。B 站站出来说该代码为老版本的后台工程源码，同时发表声明表示已经报案处理。有大疆判刑事件在前，不知道泄露 B 站代码的这位用户将会受到什么样的处罚。