企业私有源代码上传github致入侵之大疆案判决了

事件简单回顾:

1.2017年8月28日,大疆宣布“大疆威胁识别奖励计划”,最高3万美元;

2.然而在此之前,大疆农业事业部某员工将企业私有源代码上传到了github;

3.就职于大疆竞对公司Department13公司的美国人Kevin Finisterre向大疆提交了一份31页的报告,列出了他与其同事找到的漏洞,包括通过github找到的大疆AWS的SSL凭证密钥的漏洞;

4.Finisterre表示,在系统中他能够获取的资料包括“未加密的飞行日志,护照,驾驶许可证以及个人身份证明”;

5.大疆试图让Finisterre签署一份不公开研究报告的保密协议之后才能领取奖金;

6.Finisterre不同意签署并公布了此事:

https://regmedia.co.uk/2017/11/16/whyiwalkedfrom3k.pdf,

引发舆论哗然;

 

7.2019年4月上旬,深圳法院对事件中进行该违规操作导致代码和密钥泄露的员工作出了一审判决,该员工被以侵犯商业秘密罪判处有期徒刑六个月,并处罚金20万元。

 

类似事件一再发生,屡禁不止,请各位Leader引以为戒:

最近:

2019年:2019年4月22日某人在github注册了openbilibili帐号,4月23日bilibili后端工程源代码被发布。消息传出后,Star数量在4点半就突破了2000,到了下午5点,Star数已经达到6000,最终创下了一天斩获9000+的惊人纪录,该项目到了17点20分被关闭。

2016年:某德勤员工据信在2016年Q4或更早将公司代理登录凭证上传至他的 Google+ 上,从而引发了2016年年底到2017年年初的德勤全球电子邮件服务器及其他内部系统被入侵;

 

2015年:2015年4月14日,多位Yahoo北京前员工将内部代码包括密钥上传到了github,安全部门开出了S0 tickets,据信与雅虎中国裁员有关;

 

更早些时间,据乌云网报道:

  • 盛大某开发人员意识不足泄漏内部邮箱帐号密码(github);

  • 迅雷某开发人员意识不足泄漏内部邮箱帐号密码(github);

  • 一次成功的漫游京东内部网络的过程(由一个开发人员失误导致)(github);

  • 新浪开发人员安全意识不足导致部分源码泄漏(googlecode);

  • 腾讯多组内部邮箱账号密码泄漏(github);

  • ……

 

-EOF-

欢迎关注老兵笔记

 

posted @ 2019-04-28 19:41  旁观者  阅读(...)  评论(...编辑  收藏