点击上方“C语言与CPP编程”,选择“关注/置顶/星标公众号”
干货福利,第一时间送达!
最近有小伙伴说没有收到当天的文章推送,这是因为微信更改了推送机制,导致没有星标公众号的小伙伴刷不到当天推送的文章,无法接收到一些比较实用的知识和资讯。所以建议大家加个星标??,以后就能第一时间收到推送了。
2smafvi3moh6405883312.png
整理 | 苏宓 出品 | CSDN(ID:CSDNnews)在众多软件漏洞中,最难防的或许就是“人为投毒”了。
近日,B 站用户@老变态了了了 发布了一段视频,曝光了一起性质极其恶劣的软件安全事件。
视频中提到,一种专门针对 B 站账号的攻击手段出现了。中招的用户只要在网页上打开 B 站视频,就会触发一种恶性效果:无论播放什么内容,页面都会跳转到一个白色的界面上,并弹出红色文字提示“你的账号已被封禁”。
bdlkzu1qgzx6405883413.png
此外,在跳出这一页面后,被攻击的用户账号会从最新视频开始以每秒 3-4 个的速度删除历史上传内容。被删除的视频无法恢复,尽管客户端暂未受影响,但攻击方式和命中机制尚不明确。视频还提醒用户,如担心账号安全,需谨慎选择使用网页端功能。
本以为是一次严重的“木马”病毒事件,殊不知,经网友进一步调查发现,实施攻击手段的根源是一名 B 站的内部员工倪某某,此次攻击也是其针对部分用户故意而为之。
而这究竟是怎么一回事?
q0bbg3yfrqn6405883513.png
言语冲突导致职权的滥用
据悉,此次中招的并非是@老变态了了了 本人,而是他的朋友:
ixpv0okaa3k6405883613.png
其中,一位公开自己中招的用户昵称为“黄金鼠塔”,另一位则是“罗德兰屑罗素”。
论及这位 B 站员工为什么要这么做,据当事人之一的@罗德兰屑罗素 透露,起因是一条 3 年前的评论。
3nqqtj2agcj6405883713.png
随即 @黄金鼠塔 本人也在评论区回复道,此前是因为游戏观点而吵了起来。
ecci4cjf1em6405883813.png
具体事情起因源于三年前 @黄金鼠塔 在一条视频下方留下了一句评论:
cecf1uz522j6405883913.png
回到 2025 年 1 月 8 日,这名 B 站员工突然出现在这条评论区,以收入、赚钱等字眼嘲讽了@黄金鼠塔:
ggult21waq56405884013.png
最终双方产生了言语矛盾。
在私聊过程中,这位 B站员工不断自曝身份,让对方注意其工作:
vnm44p2ctmi6405884113.png
还分享了自己的公司地址来挑衅:
m2jacvkfdrh6405884213.png
此外,他还多次发消息威胁用户:“会废掉你账号”
op3g4yfuhrp6405884313.png
rk5tvcwi5gw6405884413.png
更是放言,自己拿着一天几千块的工资慢慢整你:
cm0exifsqzo6405884513.png
甚至“开盒”用户:
u5horvoim0t6405884613.png
并声称“过几天客户端也给你 ban 了”。
5oyil2aektl6405884714.png
cdrje4eqclx6405884814.png
根据公开信息显示,愤恨之际,这名员工也动起了“一些心思”,这也就有了文章伊始的代码“投毒”事件。
geodolgmcc26405884914.png
据悉,这位员工名为倪某某,是 B 站的一名前端工程师,主要负责网页端弹幕引擎(DanmakuX)的开发与优化。
在这次事件中,他通过自己注册的域名加载恶意代码,代码来源被指向域名 hxxps://www.jakobzhao.online/main.js。公开信息显示,该域名注册于 1 月 13 日,目前已无 DNS 解析。
跳转的原理也很简单,就是通过一段 JS 代码让某些用户跳转到特定界面。
lj5x0o2hpmq6405885014.png
虽然跳转的页面会显示“你的账号已被封禁”,但实则上述中招的用户账户本身并没有被封禁,看到的提示只是始作俑者在前端耍的一些小伎俩。
但是,戏耍他人带来的后果比众人想象得要严重。
更令人觉得有些意外的是,这名内部员工使用的手段并不高明,甚至在威胁用户的过程中,几乎是公开暴露自己的身份信息,这也是他能够被迅速锁定的主要原因。
一方面,他使用了实名制注册的 B 站账户来私信公然威胁用户。点击他的账号,网友发现他曾在 2023 年收集过用户反馈的问题,称“有助于我们后续进行修复”。
wicgqzlcz0l6405885114.png
这也很快让用户将其与 B 站内部员工挂钩。
另一方面,有网友发现他的个人博客(https://niyuancheng.top/,目前已打不开)和自己的 Bilibili、GitHub 账号都是有关联性的,其也在个人博客上介绍了自己任职于哔哩哔哩。
xe0gdwbryhu6405885214.png
B 站:涉事员工已开除,中招用户补偿大会员
当网友发现这些蛛丝马迹之后,在第一时间也与 B 站客服进行了反馈与确认。
最终,得出了在网页端之外恶意代码定向修改其他用户网页端跳转的始作俑者即为 B 站内部员工的结论。
时下,据 @老变态了了了 最新发布的视频显示,在接到用户反馈后,B 站第一时间进行了调查,内部成立了专门的调查小组。
其视频显示,官方人员确认这个事情确实是属于一个内部员工违规操作导致的。按照公司政策标准,这名员工的行为已触及红线,因此 B 站对其做开除处理。同时,B 站成也会上报到相应的一个监管部门,并在内部做一个相应的通报批评,以及对相关的主管人员进行处罚,引以为戒。
如今这部分恶意代码已被删除,B 站也会对中招用户所被删除的动态进行恢复,同时对受害者给予年度大会员的赔偿。
网友热议
虽然此次代码投毒事件已经告一段落,但是也引起了巨大的争议。员工滥用职权实施恶意攻击的行为绝非小事,它不仅损害了用户权益,更暴露了平台管理和技术防护上的短板。
不少网友发问:“从发布到生产为什么都没有做任何 Code Review?”
“那是权限黑客党的行为。因为个人恩怨,一下子造成整个用户群体的不便了。”
不可否认,防范代码投毒不仅仅是技术层面的挑战,更是企业管理和文化建设的问题。通过加强权限管理、实施最小权限原则、代码审查、员工培训以及内部安全文化的建设,可以从源头上减少代码投毒的风险。同时,定期进行外部安全审计和建立应急响应机制,确保一旦发生问题能够迅速应对并减少影响,都是非常必要的手段。
对此,你怎么看?
参考:
https://www.bilibili.com/video/BV1TqcueYEhG
https://www.bilibili.com/video/BV1PvcqeBEqn
https://www.zhihu.com/question/9842359834
https://www.cnbeta.com.tw/articles/tech/1472122.htm
推荐阅读 点击标题可跳转1、C++训练营,来了!
2、HarmonyOS 学习资料分享(无套路免费分享)
我组建了一些社群一起交流,群里有大牛也有小白,如果你有意可以一起进群交流。
欢迎你添加我的微信,我拉你进技术交流群。此外,我也会经常在微信上分享一些计算机学习经验以及工作体验,还有一些内推机会。
加个微信,打开另一扇窗
感谢你的分享,点赞,在看三连
| 
电子产业一站式赋能平台
窥视卡
置顶卡
变色卡
