写点什么

大疆前员工通过 Github 泄露公司源代码,被罚 20 万、获刑半年

  • 2019-04-26
  • 本文字数:1236 字

    阅读完需:约 4 分钟

大疆前员工通过Github泄露公司源代码,被罚20万、获刑半年

今日,据南都记者报道,深圳法院近日对大疆源代码泄露案做出一审判决,综合考虑犯罪情节以及自愿认罪、有悔罪表现,以侵犯商业秘密罪判处大疆前员工有期徒刑六个月,并处罚金 20 万人民币。


安全研究人员 Kevin Finisterre 在 2017 年发现了一个漏洞,该漏洞可能会导致将大疆公司的用户数据泄露出去。Kevin 和他的搭档整理了长达 31 页的漏洞报告,指出他们获得了大疆意外发布至 GitHub 的 SSL 认证私钥,从而可以获得储存在大疆服务器上的敏感用户信息。黑客能够利用这些钥匙(密码)访问大疆用户上传的私人数据,不仅是飞行日志和航拍照片,而且还有政府 ID、驾照和护照。在向大疆报告了这一缺陷之后,Finisterre 最初被告知,他的 BUG 报告有资格获得 30000 美元的最高奖金。但是,大疆对 Kevin 开出了条件,要求他签署保密协议。Kevin 表示在双方协商期间,大疆的法务团队曾发给他一封邮件,表示如果不签署将会使用《计算机欺诈和滥用法》起诉他。因此他最终决定放弃这笔奖金,并公开了自己的经历,同时发表了一篇文章《为什么我放弃了大疆的3w奖金》,引起了媒体轰动。


随后经过大疆公司的调查,这个漏洞是大疆的一名前员工,将含有公司农业无人机的管理平台和农机喷洒系统两个模块的代码上传至 GitHub 网站的“公有仓库”,造成了源代码泄露。据悉,该员工之前在大疆的子公司担任软件工程师,负责编写农业无人机的管理平台和农机喷洒系统代码。他在 Github 开设账号,并建立了“公有仓库”,私自上传了代码。



图片来源:http://www.digitalmunition.com/WhyIWalkedFrom3k.pdf


Kevin 表示自己是通过 Github 搜索引擎工具,在大疆的 SkyPixel 照片共享服务源代码中发现了 AWS 私钥,而且一些大疆 AWS 账号被设置为可公开访问。这些可以让黑客在大疆服务器下载包括飞行日志在内的用户资料,甚至还有一些拍摄者被无人机螺旋桨切伤的照片。更夸张的是,这些代码明晃晃的挂在 Github 上超过了 4 年!



事后,这位员工第一时间删除了相关代码,并积极配合调查,防止事态扩大。他在推特上表示,“无意泄露了大疆的机密”、“我很后悔自己没有法律意识,我愿意承担相应的法律责任。”


但是经鉴定,大疆这些泄露出去的代码具有非公知性,且已用于该公司农业无人机产品,属于商业秘密。经评估,泄漏事件给大疆造成经济损失达 116.4 万元人民币。根据刑法规定,违反权利人关于保守商业秘密的要求,造成严重后果,应当以侵犯商业秘密罪追究刑事责任。

小结

Github 网站是全球最大的代码分享社区,用户数量达到了 3100 万;GitHub 上的企业账号超过 210 万个;目前已经有超过 9600 万个存储库托管在 GitHub 上。经常也会发生一些“有趣”的信息泄露事件。比如去年华住酒店的程序员把带有用户名和密码的数据库访问权限上传到了 GitHub;上周,疑似 B 站前员工“openbilibili”的用户在 Github 上创建“go-common”代码库。B 站站出来说该代码为老版本的后台工程源码,同时发表声明表示已经报案处理。有大疆判刑事件在前,不知道泄露 B 站代码的这位用户将会受到什么样的处罚。


2019-04-26 23:3216847
用户头像
Tina InfoQ高级编辑

发布了 1542 篇内容, 共 1178.5 次阅读, 收获喜欢 3875 次。

关注

评论 1 条评论

发布
用户头像
demo
2019-04-27 23:00
回复
没有更多了
发现更多内容

时序数据库 TDengine 官网全新上线,四大亮点抢先看

TDengine

tdengine 时序数据库 工业互联网

文盘Rust——子命令提示,提高用户体验 | 京东云技术团队

京东科技开发者

rust cli 企业号9月PK榜 领域交互

弹性数据库连接池探活策略调研(三)——DBCP | 京东云技术团队

京东科技开发者

数据库 数据库连接池 企业号9月PK榜 DBCP

一见“氢”心-康士柏氢能产业链蓄力待发

Geek_2d6073

Databend 数据集成方案 | Data Infra 第 15 期

Databend

视频剪辑中花式抠图的代码实操与案例详述

阿里云CloudImagine

云计算 阿里云

头部媒体经观传媒传依托博睿数据,将故障排查效率提升60%

博睿数据

可观测性 博睿数据

智慧火力发电厂数字孪生3D可视化平台

2D3D前端可视化开发

智慧电厂 智慧火电厂 智慧火力发电厂 数字孪生火电厂 火电厂三维可视化

产品路线图如何制定?斯坦福大学产品管理课程为你支招

LigaAI

产品经理 经验总结 产品管理 产品路线图 企业号9月PK榜

接网线怎么保留了568B线序

小齐写代码

谈谈JSF业务线程池的大小配置 | 京东物流技术团队

京东科技开发者

测试 测试用例 jsf 企业号9月PK榜

小红书广告智能创意能力构建过程详解

小红书技术REDtech

人工智能 小红书

WorkPlus AI助理,基于ChatGPT的企业级知识问答机器人

BeeWorks

学会PCB通用布局规则,复杂设计也能轻松搞定!

华秋电子

PCB

可观测性在灰度发布中的应用

观测云

微服务 性能优化 链路

「程序员转型技术管理」必修的 10 个能力提升方向

LigaAI

开发者 技术管理 经验总结 技术领导力 企业号9月PK榜

打造次世代分析型数据库(二):这,不只是列存表

腾讯云大数据

数据库

超全60000多字详解 14 种设计模式 (多图+代码+总结+Demo)

Immerse

从融云数智办公平台,看企业需要什么样的大模型?

融云 RongCloud

人工智能 AI 互联网 AIGC 数智办公

Mac端电脑风扇控制 Macs Fan Control Pro激活中文版

mac大玩家j

电脑风扇控制软件 风扇转速控制 好用的电脑风扇软件

百度输入法全面升级,打造首个基于大模型的输入法原生应用

彭飞

从软件工程师角度聊聊 Kubernetes

SEAL安全

容器 k8s 解决方案 kubernetes 运维 企业号9月PK榜

一种基于动态代理的通用研发提效解决方案

阿里技术

亚信安慧荣膺“信创工委会技术活动单位”

亚信AntDB数据库

AntDB 国产数据库 AntDB数据库

从“13天”到“0天”延时,揭秘幸福里离线SLA保障最佳实践

字节跳动数据平台

大数据 数据中台 数据治理 数据安全 企业号9月PK榜

HBuilder开发者必备!Windows上传IPA文件的软件分享

雪奈椰子

球场LED显示屏应具备什么特点

Dylan

广告 足球 LED LED display LED显示屏

山东布谷科技直播APP源码搭建:核心的服务器系统

山东布谷科技

软件开发 系统架构 直播APP源码 服务器系统

mac电脑录屏截图标注首选 CleanShot X 最新激活版

胖墩儿不胖y

Mac软件 截图软件 截图工具 屏幕截图软件

WorkPlus Meet | 私有化部署视频会议系统,实现安全高效跨屏协作的利器

BeeWorks

HBuilder开发者必备!Windows上传IPA文件的软件分享

大疆前员工通过Github泄露公司源代码,被罚20万、获刑半年_开源_Tina_InfoQ精选文章