有网友发现 GitHub 上出现了一个名为 bilibili 网站后台工程源码的 repo,短短 6 小时内,fork 数已经达到 6k+,star 数为 5k+。
然而该项目并不是托管在 B 站的官方组织域 https://github.com/Bilibili 之下。
根据 repo 的 readme 描述,似乎是用于团队内部沟通所使用的内容,比如其中指定了项目每个业务的负责人,以及相关的项目规范。
再看回 repo 里面的文件,从 gitlab-ci.yml 文件来看项目应该是托管在 GitLab,而 repo 也包含了比较完整和详细的业务代码,具体如下:
这是 B 站的后台工程源码,而本次源码泄露最直接的后果无疑是将许多隐患直接曝光出来。如果有人想通过 B 站后端代码攻击 B 站,无需再进行逆向工程进而猜测其运作原理和漏洞位置 —— 现在可以直接阅读源码,从中找到很多尚未公开的漏洞。
除此之外,源码中还包含一些重要的帐号密码信息,诸如 smtp 服务器帐号密码:
B 站开发者的代码注释也是十分耿直……
不过这件事应该不是 B 站的官方行为,因为截止发稿时,repo 已不能访问。
目前具体情况未知,OSChina 将会持续关注。
最后放上这个项目提交者的 GitHub 主页:
群内提供免费的Java架构学习资料,QQ群:643459718
(里面有高可用、高并发、高性能及分布式、Jvm性能调优、Spring源码,
MyBatis,Netty,Redis,Kafka,Mysql,Zookeeper,Tomcat,Docker,Dubbo,Nginx等多个知识点的架构资料)
