“後院”都要失守了,就先別饞大碗寬面了——B 站,你可長點兒心吧!
“你的源代碼泄露了,還擱這兒吃麪?”
2019 年 4 月 22 日,B 站(bilibili 彈幕網)官方微博賬號內一片風平浪靜歲月靜好,照常發着安利視頻。蹭着吳亦凡的新歌熱度,16:56 分的推送是一碗貨真價實的“大碗寬面”,但評論裏的畫風卻是清一色的跑題——集體喊話 B 站,“回家看看吧,你家後院被點炮了”!
吃麪路人一臉迷惑,啥?B 站到底咋了你們說清楚?
報!!B 站後臺源碼疑似泄露!
今天下午四點前後,有網友在 GitHub 上發現了一個“瘋狂的”repo——上線不到 6 小時,便斬獲 5000+ Star,Fork 數也一路飆過 6000,而且完全沒有暫緩的趨勢。
這個 repo 內容介紹的一行字也足夠簡單粗暴——嗶哩嗶哩 bilibili 網站後臺工程 源碼。
吃瓜羣衆驚落一地瓜子:嚯!B 站這是把自家的核心代碼開源了?!還是說只是開放了舊版源碼?此番 B 站方面是主動開源還是無辜被泄露?
一時間各種猜測、討論潮水般涌入各大論壇及社交平臺,“B站 源碼”、“B站 GitHub”等相關話題的熱度也在不斷攀升。
但大家很快發現,該項目並未託管在 B 站的官方組織域(https://github.com/Bilibili) 之下,而其作者 openbilibili 也是個今天剛加入 GitHub 的“不知名人士”。因此,這次“開源”大概率上不會是 B 站的官方操作。
而且該項目的 README 包括項目規範和負責人信息兩部分,後者還涵蓋了詳細的業務、具體負責人等信息。由此看來,這可能更傾向於團隊內部的章程文件。
隨着討論樓越搭越高,在一衆 666 之聲中,開始有人提出“這個 repo 是在非法泄露源代碼”。類似的聲音在該項目的 Issue 中也越來越多,B 站官方社交賬號下的評論也開始緊急呼叫“takedown”。
知乎網友@林溪 在回憶項目正式關閉前的最後一段時間時寫道:
出於看熱鬧的心態,我試着 Fork 這個倉庫,提示倉庫已經 Offline,無法 Fork;然而此時該倉庫依舊可以 Clone,有不少圍觀羣衆成功將其下載到了本地。
又過了幾分鐘,該倉庫頁面徹底消失,Fork 和 Clone 皆無法進行。至於其他人先前的 Fork,也提示無法訪問。
至此吃瓜結束?
不!似乎沒有結束,在十多分鐘後,又可以訪問這個倉庫了,所以還可以繼續圍觀一會。
終於,在 17:30 左右,後知後覺的 B 站與 Github,徹底刪除了這個倉庫。
Openbilibili?B 站在 Github 上公開了自己的後端源代碼?
如何看待bilibili(b站)源碼被上傳Github?
這麼一來可能會有哪些嚴重後果?
與網曝同步而來的,是知乎、V2EX 等論壇上拔地而起的高樓。捋完 B 站年度大戲的始末,就該來聊聊此次事件的後果了。
項目關閉了,但整個事件一時間恐怕還難以落幕。
官方終於出手了,但還是太晚了——
考慮到 Git 分佈式的特點,該 repo 在過去 6 個小時內已然經歷了“病毒式”的傳播,驚人的 Fork 數量告訴我們,衆多備份還在流傳,刪除了備份還有下載。更何況諸多“野生”備份在 disable 前,又各自積累了上千 Fork。
更有網友貼心地整理出了 B 站後端源碼學習筆記,以供交流使用。可這麼一整理也讓大家發現了一個問題——這份代碼相當“全面”,也正因此暴露了很多問題和隱患。
對此,有評論在分析後果時指出,“如果有人想通過 B 站後端代碼*** B 站,無需再進行逆向工程進而猜測其運作原理和漏洞位置。現在可以直接閱讀源碼,從中找到很多尚未公開的漏洞”。而由此被黑灰產盯上拔毛也將是意料之中。
當然,對於早前帶起的關於“B 站用戶賬號密碼遭泄露”的節奏,也有不少評論表示代碼中泄露的賬號明顯爲內部測試賬號,“不會有人把賬號密碼放在源碼裏,都放在數據庫裏了”。
藏在代碼裏的祕密
寫註釋的程序員可能不止是天使,還是段子手。此番泄露代碼的註釋,把 B 站程序員內心的吐槽能量,以及 B 站那些你不知道的潛規則“賣”了個乾乾淨淨。
那些年你走過的 B 站的套路
抽獎不成功也要發送彈幕,概率 20%,造成一種很多人中獎的假象:
你是尊貴的大會員用戶嗎?
此外,後臺直接定義虛假播放量、大數據殺熟源碼等實錘也一一被曝,這於 B 站而言顯然不是什麼好事。
靜能敲代碼,皮能寫段子
程序員:皮這一下,是真的很開心。
產品!愛我你怕了嗎!
快樂膜法瞭解一下?
本尊迴應啦!
就在各路討論分析、求源碼等等攪得一團亂時,B 站官方於晚間悄悄掛出聲明,迴應稱“所泄代碼屬於歷史版本,已主動防禦並報案”。
儘管如此,仍有細心的網友從代碼文件中發現了可能與其聲明不符的“蛛絲馬跡”,其中便包括拜年祭 2019 的代碼,強行說這是“歷史”,似乎並不能說得通。
但事實究竟如此,恐怕也只有吃了虧的 B 站能說清了。
隨着瓜越吃越大,B 站官方似乎有意下場肅清,從知乎熱帖到微博話題,都被悄悄“和諧”了。
場外羣衆也紛紛表態,聲明“從未 Clone、下載或者以任何途徑獲得 bilibili 公司的任何非正常途徑公開的代碼”。
所謂一瓜未盡又添新瓜,關於故意泄露源碼的“元兇”,有說是被裁程序員的報復,有說是開源反抗 996 的第一戰,更有調侃者劍指粉絲羣體,但無論真相幾何,先不論其職業生涯葬送以及給黑灰產強行送人頭的後果,單是一首《鐵窗淚》,可能已經爲其備下了。
那麼,你有是如何看待此次 B 站“被開源”事件的呢?