B站代码泄露,信息量有点大呀!

原来你是这样的哔哩哔哩……

Bilibili一直是国内年轻人聚集的视频娱乐社区,以其独特的“弹幕”评论功能深受使用者喜爱。从最初的ACG内容起家,到各类常见的视频内容均有涉足,B站成为了国内最大的Z世代青年的聚集地。
哔哩哔哩logo
哔哩哔哩logo
不过最近这一个月,B站可不怎么太平。先是月初被流量明星蔡徐坤发了律师函,月中又被曝低俗内容泛滥,被送上了热搜。原以为平息了这些“幺蛾子”,终于可以安生一段时间了,没想到四月末又遭受了一记暴击——就在前两天,B站的网站后台工程源码遭恶意泄露,被一个名为“openbilibili”的用户放到了开源项目平台Github上。当时听到这个新闻的我是这个表情:
2要知道,源码被泄露的严重性,就等同于中药的祖传药秘方被公开,网站现在几近“裸奔”。

事件始末

4月22日下午四点前后,有网友在 GitHub 上发现了一个内容介绍为“哔哩哔哩 bilibili 网站后台工程 源码”的repo,内容包含了项目规范和负责人信息两部分,后者还涵盖了详细的业务、具体负责人等信息。

原仓库
原仓库

在上线不到 6 小时的时间里,该repo便斩获 5000+ Star,6000+Fork。围观群众越聚越多,相关话题热度也一路飙升。

终于消息传到了B站官方,当天的17:30 左右,Github才彻底删除了该仓库。

现在访问会提示“该仓已失效”
现在访问会提示“该仓已失效”

 

代码在流浪,后果很严重

6000多个Fork意味着什么呢?就是说,项目已被备份6000多次且不可连带删除

事后B站发表声明,声称泄露的部分代码“属于较老的历史版本”,并且现在已经“执行了主动防御措施”以安抚人心。

在此心疼程序员小哥哥们,这次事件肯定又连累他们加班到爆肝了。
5

尽管如此,事件仍未结束。22号当天,B站股价大跌;而流落在外、现在已经不知被拷贝了多少份的源码,无疑是更大的隐患。

有人分析指出“如果有人想通过后端代码攻击B站,无需再进行逆向工程猜测运作原理和漏洞位置,可以直接从源码中找到很多漏洞”

还记得几个月之前拼多多被薅羊毛的事件吗?同样的道理,现在的B站失去了更多防护,被黑灰产盯上并且“被薅”也更加容易。

几个疑点

起因是内部员工复仇?

虽然有各种内部爆料称,这一事件是B站内部员工出于报复目的所为不过这一说法尚未经核实,也可能是竞争对手的出于商业目的的攻击或者其它情况。

唯一可以确定的是,这一定是有意而为之,并不是意外。首先,在Github上公布源码的账号注册时间是4月22日,也就是事件当天注册的新号儿的;其次,光明正大“哔哩哔哩 bilibili 网站后台工程 源码”文件名也是传播意图明显。

此外还有网友猜测,这可能是蔡徐坤粉丝报复B站的操作,额······
6

用户信息泄露?

泄露的代码中,可以看到有不少用户名和密码在其中,因此许多人担忧这会带来用户信息的泄露。
7

不过核实后发现,这些用户名都是B站本身的邮箱,密码则是“Test”+日期,明显是供后台测试使用的,并不是普通用户的账号。所以现在时不用担心信息泄露的情况。

即将出现山寨B站?

不少网友对“源码泄露”后果的理解是:从此B站成为一个人人可copy的网站,山寨网站Cilicili、Dilidili的崛起指日可待。

甚至已经有人注册了kunlikunli的域名!蔡徐坤看了想打篮球人系列······
89

核心代码泄露确实危险。但缺少数据库以及前端,光有业务逻辑是行不通的,所以实际操作远没有说起来这么轻而易举。

代码里的隐藏彩蛋

虽然Github上的原帖已被删除,但不少技术同好还是通过各种方法拿到了代码,出于学习或好奇的心态对代码进行了研读。结果挖出了很多神奇的内容:

| 皮这一下很开心 |

敲代码太无聊?写诗作画,放松一下👇

10

啊~这该死的傲娇啊👇

11

高科技复仇 之 编码诅咒,产品经理受死吧!👇

12
13

| 黑幕 |
14

👆 “抽奖不成功也要发送弹幕,概率 20%,造成一种很多人中奖的假象”······原来弹幕满天飞的场景里有这么大的水分。
15

👆 这段内容的作用则是:如果你是B站大会员,但是是抽奖或者参加活动送的,那你得到的实际权限跟花钱买大会员的人是不一样的,也就变成了“乞丐vip”。

| 推荐机制详解 |

这个就很6了,尤其是对各位up主来说。因为B站的推荐加权项和权重系数都在这儿了!

推荐机制详解
推荐机制详解

代码显示,决定文章内容得分的项包括硬币、收藏、评论、阅读量、点赞数、分享数和更新时间;视频内容则在这些之外多了“弹幕”项。

可以看出无论是文章还是视频,“分享”项都占了最高权重,而“播放量”和“阅读量”均为最低权重。这说明相对于内容本身,B站更重视的是内容的传播性,越具备病毒式传播特质的作品得到的推荐越多。

Go语言:谁在叫我?

本次事件另外一个让我关注的点在于,它给不少人科普了一门萌新编程语言——Go语言。因为泄露的源码就是使用Go语言编写的。

 

Go语言的logo
Go语言的logo

Go语言全称Golang(够浪?),出自Google公司。其语法相对于其它语言来说非常简单,极易上手。一个普通大学生花几个星期就能写出高性能的应用来。

此外,Go语言还有许多优秀的特质。例如,其并行和异步编程简直可以算是如丝般顺滑,拥有接近C语言的运行效率和接近PHP的开发效率;除此之外,其稳定性还非常高。

国外有Google、Uber,国内有今日头条,都在使用Go语言。云计算,微服务,区块链,到处都有用Go语言写出来的重量级项目。甚至在今年HackerRank发起的一项技能调查中,票选出了“程序员最想学习的编程语言Top 3” 分别是 Go、Kotlin 和 Python。其中,Go语言以 37.2% 的比例排在首位!
18

让我们感谢,本次事件为Go语言的传播和科普做出的贡献。免费宣传真香~

总的说来,B站这个瓜实在是有些猝不及防,毕竟前两天吴亦凡和蔡徐坤的大碗宽面还没吃完,突然又给我们又塞了一个瓜,实在是······噎着了。

无论是私人报复也好、商业竞争也罢,这样的泄密操作都真的是良心大大的坏,让众多无辜用户都面临风险。此外,无论是泄露源码还是传播源码,删库跑路或者开源跑路,这些都是板上钉钉的违法犯罪行为。
19

皮一下

以后去B站应聘,面试官问我“你有什么特长?”我就回答“我看过一遍你们的源码”。
二维码动态

编辑:Sue

图片来源于网络,版权归原作者所有,如有侵权请联系删除

APICloud创作大赛 | 光棍节,用你的代码来证明你是单身!

我是单身我骄傲!没有什么事情是撸串代码不能解决的,如果有,那就两串~~~API撸代码大赛,你可以的!

双11还有2天就到了,小A在睡梦中突然惊醒!
在变成妹纸们期待的一年一度的剁手节之前,这难道不是我们单身狗的节日嘛!(莫名的尊严被莫名的践踏了……
因此,小A深夜怒撸100100行代码后,任性决定!
办一场全宇宙首届“单身代码创作大赛”,在光棍节来临之际,用代码来证明我是单身!(本场大赛获得了FFF团的强烈赞助)
程序猿朋友们,请跟老板说今日不加班,然后把嘴里的泡面吐出来,仔细阅读赛事规则。你的一段代码,没准会让你收获一枚萌妹。此活动专为11月9日-13日注册APICloud账户的胖友们设置,一定记得要注册哦~
赛事规则
1.     撰写一段#单身#主题的代码;(语言不限)
2.     将关键代码和运行结果截图(或制作GIF);
3.     简单描述一下自己的创意;
4.     将2、3步骤的内容APICloud注册邮箱发送到marketing@apicloud.com邮箱中。作品提交时间截止至11月13日24
5.     11月14日,小A与小A背后程序猿大神团队将挑选出最有趣的5件作品,赠送出由FFF团赞助的《软件开发视频大讲堂:HTML5从入门到精通》5本!(抽中的胖友将收到表扬邮件一封,注意查收)

 

不会撸码肿么办?!
还木有掌握撸码这一撩妹神技的胖友们,小A为你们准备了【撸码实战培训课】,由CTO大牛亲自教你,7天就GET技能!
1.     领取方式:APICloud注册邮箱marketing@apicloud.com邮箱中,11月14日小A抽取5名幸运用户,免费赠送价值899元的培训课名额!
        没有抽中的胖友们,也可以300元的优惠价格购买培训课!(对,我的目的就是让所有人都开始撸码!)
2.     使用方式:11月14日起,凭借APICloud回复邮件与运营妹纸联系即可使用,QQ:3266304342(拒绝撩妹,非诚勿扰!)
 
注册传送门
API大赛
务必将注册邮箱发给我们,要不没法领奖
提供几个脑洞
主题:来自单身狗的怒吼!
             部分代码截图
872875285115112833
 
运行结果
QQ截图20161109131318
 
–   写一个自己每日的穿梭路线,用标准的两点一线来证明自己单身(唯一一次绕个远路是为了吃香喷喷的鸡蛋灌饼)
  输出一个每日加班时长(加班在变长,你在默默撸码哭泣)
  生成倒计时,计算遇到真爱还有多少秒
    总之,小A期待你们的大作,来blow my mind!
 
466577377787999175

 

319007225251314744

 

2016-11-09 ~ 2016-11-14讯飞开放平台,APIcloud
超过80%语音开发者的共同选择