B站源代码遭泄露 用户数据隐私受“威胁”

点击：49 发布时间：2021-04-07 10:50:33

       本报实习记者 李昆昆 记者 张靖超 北京报道 
       4月22日，哔哩哔哩弹幕网（以下简称“B站”NASDAQ：BI-LI）遭遇代码外泄，其后台工程代码被上传至开源项目平台GitHub上，暴露出该网站在“节奏风暴抽奖活动”中“注水”抽奖成功率、涉嫌侵害消费者合法权益的问题，上海市消保委由此两度约谈了B站运营主体上海宽娱数码科技有限公司。事件发生后，B站股价盘前下跌4.07%，美国存托凭证16.74美元/股。 
       B站表示，经内部核查，确认该部分代码属于较老的历史版本，目前网站已执行主动防御措施，确保不会影响到网站安全和用户数据安全。 
       不过，有业内人士告诉《中国经营报》记者，“如果是老版本的话，这些代码也不会带用户信息的，但目前网上泄露的代码有好多用户信息，明显不是官方公布的那样。”对此，本报记者求证B站，对方表示暂时没有回应。
 
       源代码遭泄露 
       在开源及私有软件项目托管平台GitHub上，出现了名为“哔哩哔哩bilibili网站后台工程源码”的项目。 
       4月22日下午，有爆料称，B站整个网站后台工程源码泄露，并且“不少用户密码被硬编码在代码里面，谁都可以用。” 
       当天，在开源及私有加密软件项目托管平台GitHub上，出现了名为“哔哩哔哩bilibili网站后台工程源码”的项目。据悉，该项目由账号“openbilibili”创建，由于网站的开源性质，登录网站者均可使用。 
       与此同时，B站源代码被泄露，也暴露出该网站在“节奏风暴抽奖活动”中“注水”抽奖成功率、涉嫌侵害消费者合法权益的问题，代码中有备注显示“抽奖不成功也要发送弹幕，概率20%，造成一种很多人中奖的假象”。由此，上海市消保委两度约谈了上海宽娱数码科技有限公司。 
       一位熟悉直播的人士告诉记者，“节奏风暴”是个直播道具特效，抽奖活动是指直播间里没有买这个特效的用户，可以一起参与，当他们点击“节奏风暴”的特效时，就会自动发送一条弹幕。从点击“节奏风暴”效果的用户中抽取100位，领取免费小道具（此道具是用来增加亲密度和经验值）。其他用户再点击就领不到了，但是也会自动发弹幕，活跃氛围。而凡是中奖用户，都会有单独的弹窗提示。 
       上述人士透露，这个“节奏风暴”不涉及现金交易，已经向消保委解释清楚。记者就此事致电上海市消保委，截至目前尚未获得回复。
而B站接受记者采访时表示，“设计此功能是为了活跃弹幕氛围，并不涉及现金交易；功能设计确实存在争议点，我们已经将该功能下线整改。” 
       源代码为何会被泄露 
       现在看来，可能隐藏着根本性的漏洞，而且这些漏洞恐怕会很难修复。 
       艾媒咨询分析师李松霖接受记者采访时表示，“无论泄露的是什么时间段的版本，都已经对B站造成负面冲击。”据悉，在4月22日，B站股价盘前下跌4.07%。 
       一位技术人员向记者透露，代码泄露有两种可能性。一是代码的开发人员，有可能是某个程序员泄露的，可能意识不到代码的安全性，出于炫耀等原因，把代码分享到GitHub。 
       用户数据隐私急需文件加密保护 
       即使泄露的代码版本较旧，都会对用户信息安全造成不良的影响。 
       李松霖说，对于B站这种影响力大的平台，代码泄露涉及到用户的数据，会对用户信心造成冲击，影响用户对B站本身的信任度。另一方面，B站作为上市企业，代码泄露事件也会影响它在资本市场上的表现。