大疆前员工泄露公司源代码造成超百万损失被力量

大疆前员工泄露公司源代码造成超百万损失，被罚20万并获刑半年

4月27日，据南都报道，深圳法院近日对大疆源代码泄露案做出一审判决，综合考虑犯罪情节以及自愿认罪、有悔罪表现，以侵犯商业秘密罪判处大疆前员工有期徒刑六个月，并处罚金20万人民币。据悉，这些泄露出去的代码，已用于该公司农业无人机产品，具有实用性。尽管大疆公司采取了合理的保密措施，但该次事件依然给大疆造成经济损失116.4万元人民币。

根据深圳市人民检察院披露的内情，2017年安全研究员Kevin Finisterr在大疆的络安全方面发现了一个非常严重的漏洞。这个漏洞能让攻击者获取到SSL证书的私钥，并允许他们访问存储在大疆服务器上的客户敏感信息，这使得大疆的所有旧密钥毫无用处，从而可能导致大疆服务器上的用户信息、飞行日志等私密信息能被下载。

法国图尔市检方已要求国家警察总督察局(IGPN)内部调查科针对该视频展开调查。 安全研究人员 Kevin Finisterre 在 2017 年发现了一个漏洞，该漏洞可能会导致将大疆公司的用户数据泄露出去。Kevin 和他的搭档整理了长达 31 页的漏洞报告，指出他们获得了大疆意外发布至 GitHub 的 SSL 认证私钥，从而可以获得储存在大疆服务器上的敏感用户信息。黑客能够利用这些钥匙（密码）访问大疆用户上传的私人数据，不仅是飞行日志和航拍照片，而且还有政府 ID、驾照和护照。在向大疆报告了这一缺陷之后，Finisterre 最初被告知，他的 BUG 报告有资格获得 30000 美元的最高奖金。但是，大疆对 Kevin 开出了条件，要求他签署保密协议。Kevin 表示在双方协商期间，大疆的法务团队曾发给他一封邮件，表示如果不签署将会使用《计算机欺诈和滥用法》起诉他。因此他最终决定放弃这笔奖金，并公开了自己的经历，同时发表了一篇文章《为什么我放弃了大疆的 3w 奖金》，引起了媒体轰动。

随后经过大疆公司的调查，这个漏洞是大疆的一名前员工，将含有公司农业无人机的管理平台和农机喷洒系统两个模块的代码上传至 GitHub 站的“公有仓库”，造成了源代码泄露。据悉，该员工之前在大疆的子公司担任软件工程师，负责编写农业无人机的管理平台和农机喷洒系统代码。他在 Github 开设账号，并建立了“公有仓库”，私自上传了代码。

图片来源：

Kevin 表示自己是通过 Github 搜索引擎工具，在大疆的 SkyPixel 照片共享服务源代码中发现了 AWS 私钥，而且一些大疆 AWS 账号被设置为可公开访问。这些可以让黑客在大疆服务器下载包括飞行日志在内的用户资料，甚至还有一些拍摄者被无人机螺旋桨切伤的照片。更夸张的是，这些代码明晃晃的挂在 Github 上超过了 4 年！

事后，这位员工第一时间删除了相关代码，并积极配合调查，防止事态扩大。他在推特上表示，“无意泄露了大疆的机密”、“我很后悔自己没有法律意识，我愿意承担相应的法律。”但是经鉴定，大疆这些泄露出去的代码具有非公知性，且已用于该公司农业无人机产品，属于商业秘密。经评估，泄漏事件给大疆造成经济损失达 116.4 万元人民币。根据刑法规定，违反权利人关于保守商业秘密的要求，造成严重后果，应当以侵犯商业秘密罪追究刑事。

Github 站是全球最大的代码分享社区，用户数量达到了 3100 万；GitHub 上的企业账号超过 210 万个；目前已经有超过 9600 万个存储库托管在 GitHub 上。经常也会发生一些“有趣”的信息泄露事件。比如去年华住酒店的程序员把带有用户名和密码的数据库访问权限上传到了 GitHub；上周，疑似 B 站前员工“openbilibili”的用户在 Github 上创建“go-common”代码库。B 站站出来说该代码为老版本的后台工程源码，同时发表声明表示已经报案处理。有大疆判刑事件在前，不知道泄露 B 站代码的这位用户将会受到什么样的处罚。

文章来源：InfoQ