大疆前員工一不小心洩露原始碼,被判刑半年,罰20萬
近日,關於原始碼洩露事件層出不窮。
去年2月,一位名為 "ZioShiba" 的使用者在GitHub 上洩露了蘋果公司專有的 iBoot 原始碼。
今年2月,某雲程式碼託管平臺因專案許可權設定存在歧義,導致開發者操作失誤,造成至少 40 家以上企業的 200 多個專案程式碼洩露。
4月22日,B站的網站後臺工程原始碼遭惡意洩露,被一個名為“openbilibili”的使用者放到了開源專案平臺Github上。在上線不到 6 小時的時間裡,該repo斬獲 5000+ Star,6000+Fork。
公司原始碼被員工有意無意洩露的事件太多了。
雖然以上公司官方並未公佈對當事人的處理結果,但不管從企業還是個人來說,針對此類事件都該引起高度重視。近日,深圳法院就對大疆原始碼洩露案做出了一審判決。
誤發指令,判刑半年, 罰 20萬
事情發生於2017年,大疆的漏洞舉報郵箱收到一封來自安全研究員 Kevin Finisterr 的海外郵件。對方稱在 GitHub 程式碼分享社群上,發現有包含大疆原始碼等重要敏感資訊的連結。攻擊者可以利用其程式碼獲取SSL證書的私鑰,並訪問儲存在大疆伺服器上的客戶敏感資訊。 Kevin Finisterr隨即在Twitter上公佈了洩密員工郵件。
Kevin Finisterr 在Twitter公佈洩密員工的郵件
經過大疆公司的調查,發現這個漏洞是大疆的一名前員工通過一個計算機指令,將含有公司農業無人機的管理平臺和農機噴灑系統兩個模組的程式碼上傳至GitHub網站的“公有倉庫”,造成了原始碼洩露。
儘管大疆公司採取了合理的保密措施,但該次事件依然給大疆造成經濟損失116.4萬元人民幣。同時,這可能導致大疆伺服器上的使用者資訊、飛行日誌等私密資訊被不法份子惡意下載。
案發後,這位員工第一時間刪除了相關程式碼,並積極配合調查。同時在上Twitter上公開道歉。深圳法院對這起事件進行了專業鑑定,大疆這些洩露出去的程式碼具有非公知性,且已用於該公司農業無人機產品,屬於商業祕密。綜合考慮犯罪情節以及自願認罪、有悔罪表現,以侵犯商業祕密罪判處大疆前員工有期徒刑六個月,並處罰金20萬人民幣。
如何避免原始碼洩露問題
原始碼之於網際網路公司是核心競爭力,企業能否在同行中展露頭角,具備核心競爭力,原始碼的保護起到了決定性的作用。
知乎上有不少關於如何防止原始碼洩露的問題,底下網友們的回答真是笑到小編肚子疼。
某網友回覆:洩不洩露完全是依靠程式設計師的自尊心,寫這麼爛洩露出去實在太丟人了……
某匿名網友回覆:只要寫得爛,洩露就沒辦法被別人用。
不過也有很認真回答問題的。
一名叫遊戲茶館的人答:
1、加強員工保密意識教育和員工離職管理。和員工簽署保密協議、競業限制協議。在員工離職時,明確告知違反保密義務、競業限制義務的範圍及違反的法律後果,對違反協議的員工堅決訴諸法律,以起到警示作用。
2、對程式碼實行分許可權管理。可以劃分核心程式碼和非核心程式碼,分別制定保護策略;按照專案的需要把技術人員按照職責和許可權進行劃分,能接觸核心程式碼的人一定是可以信任的人,一般程式設計師只能接觸到自己所負責的那部分程式碼,不能檢視其他人寫的程式碼。儘可能的降低核心程式碼洩露的風險。
3、加強監控、內外網隔離。對公司開發用的計算機安裝後臺監控軟體,監控操作行為;所有辦公電腦都不接入網路,封閉計算機的外部介面,比如USB口、上網功能等,任何需要內外網拷貝資料的行為,都必須經過一套特殊流程。
4、版權登記。將不同版本的軟體進行版權登記,固定下權屬。
總體來說,原始碼洩露這種事,從企業層面應該採用種種手段進行防禦,而作為員工個人,網際網路圈子也就那麼大,別那麼想不開斷送自己的前程呀。
你們覺得他們說的對嗎?你是否有更好的方法?有建議的請給小編留言喲 ❤
來源:雷鋒網、知乎
- End -
公眾號ID:ikanxue
官方微博:看雪安全
商務合作:[email protected]
↙ 點選下方“閱讀原文”,檢視更多資訊