写点什么

大疆前员工通过 Github 泄露公司源代码,被罚 20 万、获刑半年

  • 2019-04-26
  • 本文字数:1236 字

    阅读完需:约 4 分钟

大疆前员工通过Github泄露公司源代码,被罚20万、获刑半年

今日,据南都记者报道,深圳法院近日对大疆源代码泄露案做出一审判决,综合考虑犯罪情节以及自愿认罪、有悔罪表现,以侵犯商业秘密罪判处大疆前员工有期徒刑六个月,并处罚金 20 万人民币。


安全研究人员 Kevin Finisterre 在 2017 年发现了一个漏洞,该漏洞可能会导致将大疆公司的用户数据泄露出去。Kevin 和他的搭档整理了长达 31 页的漏洞报告,指出他们获得了大疆意外发布至 GitHub 的 SSL 认证私钥,从而可以获得储存在大疆服务器上的敏感用户信息。黑客能够利用这些钥匙(密码)访问大疆用户上传的私人数据,不仅是飞行日志和航拍照片,而且还有政府 ID、驾照和护照。在向大疆报告了这一缺陷之后,Finisterre 最初被告知,他的 BUG 报告有资格获得 30000 美元的最高奖金。但是,大疆对 Kevin 开出了条件,要求他签署保密协议。Kevin 表示在双方协商期间,大疆的法务团队曾发给他一封邮件,表示如果不签署将会使用《计算机欺诈和滥用法》起诉他。因此他最终决定放弃这笔奖金,并公开了自己的经历,同时发表了一篇文章《为什么我放弃了大疆的3w奖金》,引起了媒体轰动。


随后经过大疆公司的调查,这个漏洞是大疆的一名前员工,将含有公司农业无人机的管理平台和农机喷洒系统两个模块的代码上传至 GitHub 网站的“公有仓库”,造成了源代码泄露。据悉,该员工之前在大疆的子公司担任软件工程师,负责编写农业无人机的管理平台和农机喷洒系统代码。他在 Github 开设账号,并建立了“公有仓库”,私自上传了代码。



图片来源:http://www.digitalmunition.com/WhyIWalkedFrom3k.pdf


Kevin 表示自己是通过 Github 搜索引擎工具,在大疆的 SkyPixel 照片共享服务源代码中发现了 AWS 私钥,而且一些大疆 AWS 账号被设置为可公开访问。这些可以让黑客在大疆服务器下载包括飞行日志在内的用户资料,甚至还有一些拍摄者被无人机螺旋桨切伤的照片。更夸张的是,这些代码明晃晃的挂在 Github 上超过了 4 年!



事后,这位员工第一时间删除了相关代码,并积极配合调查,防止事态扩大。他在推特上表示,“无意泄露了大疆的机密”、“我很后悔自己没有法律意识,我愿意承担相应的法律责任。”


但是经鉴定,大疆这些泄露出去的代码具有非公知性,且已用于该公司农业无人机产品,属于商业秘密。经评估,泄漏事件给大疆造成经济损失达 116.4 万元人民币。根据刑法规定,违反权利人关于保守商业秘密的要求,造成严重后果,应当以侵犯商业秘密罪追究刑事责任。

小结

Github 网站是全球最大的代码分享社区,用户数量达到了 3100 万;GitHub 上的企业账号超过 210 万个;目前已经有超过 9600 万个存储库托管在 GitHub 上。经常也会发生一些“有趣”的信息泄露事件。比如去年华住酒店的程序员把带有用户名和密码的数据库访问权限上传到了 GitHub;上周,疑似 B 站前员工“openbilibili”的用户在 Github 上创建“go-common”代码库。B 站站出来说该代码为老版本的后台工程源码,同时发表声明表示已经报案处理。有大疆判刑事件在前,不知道泄露 B 站代码的这位用户将会受到什么样的处罚。


2019-04-26 23:3216019
用户头像
Tina InfoQ高级编辑

发布了 1410 篇内容, 共 1005.3 次阅读, 收获喜欢 3740 次。

关注

评论 1 条评论

发布
用户头像
demo
2019-04-27 23:00
回复
没有更多了
发现更多内容

AI for Good | AI+环保,点亮可持续的智能未来

澳鹏Appen

人工智能 AI向善 环境保护

【完整版教程】iOS混淆加固原理篇

2024年首期OpenHarmony繁星计划师资培训在东莞圆满举办

新消费日报

产品经理需要掌握哪些技能?一文弄懂PM的方方面面!附知识图谱

彭宏豪95

产品经理 产品设计 PM 在线白板 团队协同

探索 Vue 3.0 下的低代码创新

不在线第一只蜗牛

低代码 开发 Vue3 API

Comparison between IPQ9574 and IPQ9554 | MLO EHT Solution Unveils the WiFi 7 CPU for Industrial

wallyslilly

大家都在用哪些团队项目管理工具协作?分享6类12款

易成管理学

项目管理 项目管理软件

听GPT 讲Rust源代码--compiler(30)

fliter

最佳在线项目管理网站揭晓:2024年全方位对比15大热门工具

易成管理学

项目管理 项目管理工具

上一任留下的 Eureka,我该如何提升她的性能和稳定性(含数据比对)?

阿里巴巴云原生

阿里云 微服务 云原生

据说这道Go面试题90%的人都搞错了!

王中阳Go

面试题 面经 defer Go 语言 断点

17 位社区大咖寄语,Seata 进入 Apache 孵化器

阿里巴巴云原生

Apache 阿里云 云原生 seata

秒级响应,显著增效:明日控股携手奇点云,打造大宗贸易的数据中台标杆

Geek_2d6073

Nop入门:极简数据访问层开发

canonical

mybatis 低代码 ORM graphql

低代码是软件开发的未来吗?

这我可不懂

软件开发 低代码开发 JNPF

DAPP合约代币质押流动性挖矿系统开发丨源码丨技术设计

l8l259l3365

一文详解全栈可观测的实现路径

阿里巴巴云原生

阿里云 云原生 可观测

上市难不上市更难,谁能佐证中国企服的光明前途?

ToB行业头条

点赞!HashData连续三年获评数据猿“最具投资价值企业奖”

酷克数据HashData

【新手视频】在线快速搭建AI原生应用

AI大咚咚

百度 AI rag AI原生应用 Agent构建

亚洲杯+欧洲杯+奥运会观赛“体育直播平台”如何开发方法

软件开发-梦幻运营部

传统外贸和代购独立站的区别

tbapi

传统外贸 外贸独立站

低代码开发助力业务效能高速提升

快乐非自愿限量之名

低代码 企业转型 数字转型

软件测试学习笔记丨Linux数据处理

测试人

软件测试

手把手系列!无需 OpenAI 即可搭建 RAG 应用

Zilliz

Milvus openai AIGC LLM rag

物流快递电子面单对接规则指南

快递鸟

电子面单

Nop入门:极简服务层开发

canonical

gRPC 低代码 graphql SpringBoot3

选择海外云手机需要考虑什么?

Ogcloud

云手机 海外云手机 云手机海外版

小红书如何做混部?

阿里巴巴云原生

阿里云 云原生 Koordinator

从 Greenplum 到 Databend,万全网络数据库平台架构演进

Databend

数据库迁移

大疆前员工通过Github泄露公司源代码,被罚20万、获刑半年_开源_Tina_InfoQ精选文章