据哔哩哔哩网友 @老变态了了了 发布的消息,哔哩哔哩某员工利用自己的职权擅自在整个哔哩哔哩网页版中加载恶意代码,这段恶意代码通过这名员工 (真实姓名为倪袁成) 自己注册的域名加载。
公开消息显示倪袁成主要负责哔哩哔哩网页端 DanmakuX 弹幕引擎的开发和优化,而引入这段恶意代码的原因仅仅只是为了攻击特定网友,目前猜测是倪袁成与其他 B 站网友在站内对喷后心生怨恨,于是利用自己的权限加载这段恶意代码。
被攻击的特定网友在点击任何视频后页面都会被替换为空白页面并弹出提示称「你的账号已被封禁」,但实际上倪袁成并没有直接封禁用户账号的权限,而用户账号本身也没有被封禁,看到的提示算是倪袁成在前端耍的小伎俩。
目前流传的截图显示倪袁成加载的恶意代码通过 hxxps://www.jakobzhao.online/main.js 引入,蓝点网检查该域名发现其注册时间是 1 月 13 日且当前处于无 DNS 解析状态。
而网友发布的视频最早是 1 月 12 日,也就是倪袁成发起攻击的时间应该要更早,所以是否还使用其他域名进行攻击目前还不清楚,但倪袁成自己的个人博客地址 hxxps://niyuancheng.top/ 目前也同样处于 DNS 无解析状态,此前是可以正常访问的,这两件事应该也存在直接关联。
倪袁成威胁要封掉网友账号:
冲动的后果是什么呢?
从网友发布的视频中可以看到倪袁成与网友的对喷还挺多,后续的聊天显示倪袁成非常嚣张的报出网友办理的手机号码以及最近通过网页端观看视频的记录。
当然当时嘴有多爽现在心里估计就有多后悔,因为在网友反馈后 B 站已经排查并确认问题,随后给网友反馈称将这名员工 (B 站客服并未透露这名员工的姓名) 开除并将通报给监管机构,另外倪袁成的主管也遭到处罚。
B 站客服所说的通报给监管机构大概率说是 B 站会报警,毕竟这种利用权限私自引入恶意代码的行为已经是严重的违法犯罪行为,B 站不太可能直接开除了事。
但这也暴露 B 站的重大问题:
随话说日防夜防家贼难防,黑客并没有通过漏洞入侵 B 站,但倪袁成作为内部员工却成功引入了恶意代码,显然 B 站在代码审核和推送方面存在安全漏洞。
按理说推送新代码到生产版本中应该要经过审核和复核,估计这也是倪袁成主管也遭到处罚的原因之一,最起码也得背个管理不力和代码审核方面的黑锅。
目前 B 站已经清除这段恶意代码,建议用户清除浏览器缓存以及删除 Cookies 等数据彻底干掉倪袁成引入的这段 js。
B站 官方客服给出的反馈:
