大疆前員工通過 Github 洩露公司原始碼,被罰 20 萬、獲刑半年
今日,據 南都記者報道 ,深圳法院近日對大疆原始碼洩露案做出一審判決,綜合考慮犯罪情節以及自願認罪、有悔罪表現,以侵犯商業祕密罪判處大疆前員工有期徒刑六個月,並處罰金 20 萬人民幣。
安全研究人員 Kevin Finisterre 在 2017 年發現了一個漏洞,該漏洞可能會導致將大疆公司的使用者資料洩露出去。Kevin 和他的搭檔整理了長達 31 頁的漏洞報告,指出他們獲得了大疆意外發布至 GitHub 的 SSL 認證私鑰,從而可以獲得儲存在大疆伺服器上的敏感使用者資訊。黑客能夠利用這些鑰匙(密碼)訪問大疆使用者上傳的私人資料,不僅是飛行日誌和航拍照片,而且還有政府 ID、駕照和護照。在向大疆報告了這一缺陷之後,Finisterre 最初被告知,他的 BUG 報告有資格獲得 30000 美元的最高獎金。但是,大疆對 Kevin 開出了條件,要求他簽署保密協議。Kevin 表示在雙方協商期間,大疆的法務團隊曾發給他一封郵件,表示如果不簽署將會使用《計算機欺詐和濫用法》起訴他。因此他最終決定放棄這筆獎金,並公開了自己的經歷,同時發表了一篇文章《 為什麼我放棄了大疆的 3w 獎金 》,引起了媒體轟動。
隨後經過大疆公司的調查,這個漏洞是大疆的一名前員工,將含有公司農業無人機的管理平臺和農機噴灑系統兩個模組的程式碼上傳至 GitHub 網站的“公有倉庫”,造成了原始碼洩露。據悉,該員工之前在大疆的子公司擔任軟體工程師,負責編寫農業無人機的管理平臺和農機噴灑系統程式碼。他在 Github 開設賬號,並建立了“公有倉庫”,私自上傳了程式碼。
圖片來源: http://www.digitalmunition.com/WhyIWalkedFrom3k.pdf
Kevin 表示自己是通過 Github 搜尋引擎工具,在大疆的 SkyPixel 照片共享服務原始碼中發現了 AWS 私鑰,而且一些大疆 AWS 賬號被設定為可公開訪問。這些可以讓黑客在大疆伺服器下載包括飛行日誌在內的使用者資料,甚至還有一些拍攝者 被無人機螺旋槳切傷的照片 。更誇張的是,這些程式碼明晃晃的掛在 Github 上超過了 4 年!
事後,這位員工第一時間刪除了相關程式碼,並積極配合調查,防止事態擴大。他在推特上表示,“無意洩露了大疆的機密”、“我很後悔自己沒有法律意識,我願意承擔相應的法律責任。”
但是經鑑定,大疆這些洩露出去的程式碼具有非公知性,且已用於該公司農業無人機產品,屬於商業祕密。經評估,洩漏事件給大疆造成經濟損失達 116.4 萬元人民幣。根據刑法規定,違反權利人關於保守商業祕密的要求,造成嚴重後果,應當以侵犯商業祕密罪追究刑事責任。
小結
Github 網站是全球最大的程式碼分享社群,使用者數量達到了 3100 萬;GitHub 上的企業賬號超過 210 萬個;目前已經有超過 9600 萬個儲存庫託管在 GitHub 上。經常也會發生一些“有趣”的資訊洩露事件。比如去年華住酒店的程式設計師把帶有使用者名稱和密碼的資料庫訪問許可權上傳到了 GitHub;上週,疑似 B 站前員工“openbilibili”的使用者在 Github 上建立“go-common”程式碼庫。B 站站出來說該程式碼為老版本的後臺工程原始碼,同時發表宣告表示已經報案處理。有大疆判刑事件在前,不知道洩露 B 站程式碼的這位使用者將會受到什麼樣的處罰。