咨询热线:400-000-3720 中文 | English
前大疆员工泄露源码被罚20万企业急需加密软件 发布时间:2019/5/6

较近,朋友圈被一则“泄露公司源代码造成超百万损失,大疆前员工被罚20万、获刑半年”的消息刷屏了。

事情是这样的,2017年9月初,大疆的漏洞举报邮箱收到一封来自安全研究员 Kevin Finisterr 的海外邮件,对方称在 GitHub 代码分享社区上,发现有包含大疆源代码等重要敏感信息的链接。攻击者可以通过其获取SSL证书的私钥,并访问存储在大疆服务器上的客户敏感信息(诸如用户信息、飞行日志等私密信息都能被下载)。
疆调查后发现,这事居然和某位前员工有关。据悉,这位员工毕业于著名高校,在大疆的子公司担任软件工程师,曾负责编写农业无人机的管理平台和农机喷洒系统代码。

他曾在 GitHub 网站上开设了账号,并建立了“公有仓库”。之后,其通过一个计算机指令,将含有公司农业无人机的管理平台和农机喷洒系统两个模块的代码上传至 GitHub 网站的“公有仓库”,造成了源代码泄露。
经鉴定,这些泄露出去的代码已用于大疆农业无人机产品,属于商业秘密。目前该员工已自首,此次泄露事件给大疆造成经济损失116.4万元人民币。

法院于近日作出一审判决,以侵犯商业秘密罪判处大疆前员工有期徒刑六个月,并处罚金20万人民币。
在此之前,4月22日,B站的网站后台工程源码遭恶意泄露,被一个名为“openbilibili”的用户放到了开源项目平台Github上。内容包含了项目规范和负责人信息两部分,后者还涵盖了详细的业务、具体负责人等信息。在上线不到 6 小时的时间里,该repo斩获 5000+ Star,6000+Fork。
当天17:30 左右,Github 才彻底删除了该仓库。事后,B站发表声明称,泄露的部分代码属于较老的历史版本,并且已执行了主动防御措施。

多方爆料都将这起泄露事件指向内部员工蓄意报复,但这些与不知被拷贝了多少份的源码隐患相比也不甚重要了。毕竟,如果有人想通过后端代码攻击B站,无需再进行逆向工程猜测运作原理和漏洞位置,可以直接从源码中找到很多漏洞。


为了有效杜绝此类事件的再次发生,企业安全不仅要做好外部防线,内部安全也不可忽略。关于内部安全,安腾软件采取事前防范,事中控制,事后溯源补缺的全方面控制,真正做到文档的实时透明加密、移动介质的管理、外发文控制以及审批审计对文件进行全面保护。内部员工拷贝文件就都要通过领导的审批,这样就防止核心文件的泄露。

安腾软件(ITEN)长期专注于政府以及企业单位反商业泄密软件的研究,为企事业单位提供领先的计算机信息反泄密解决方案。保障信息安全,防止信息泄密,对信息数据进行保护,完善管理制度是一种途径,同时想从根本上解决信息文件的安全问题,远离信息泄露风险,使用专业的文档加密软件、反泄密软件对其信息本源进行加密也是企业从源头防止信息泄密的一种重要手段。

QQ咨询


百度商桥


方案下载