B站程序员在前端代码中“投毒”、威胁封禁与其争执的用户,官方:已开除与追责

AI划重点 · 全文约1925字,阅读需6分钟

1.B站内部员工倪某某因与用户发生言语冲突,故意在网页端代码中植入恶意代码,导致部分用户账号被封禁。

2.中招的用户在网页上打开B站视频时,页面会跳转到白色界面并弹出红色文字提示“你的账号已被封禁”,同时被攻击的用户账号会从最新视频开始以每秒3-4个的速度删除历史上传内容。

3.网友发现倪某某在威胁过程中暴露了自己的身份信息,使得他能够被迅速锁定。

4.B站官方在接到用户反馈后,立即进行调查,确认事件为内部员工违规操作,已开除涉事员工并上报监管部门。

5.此外,B站将对中招用户所被删除的动态进行恢复,并给予年度大会员的赔偿。

以上内容由腾讯混元大模型生成,仅供参考

整理 | 苏宓
出品 | CSDN(ID:CSDNnews)

在众多软件漏洞中,最难防的或许就是“人为投毒”了。

近日,B 站用户@老变态了了了 发布了一段视频,曝光了一起性质极其恶劣的软件安全事件。

视频中提到,一种专门针对 B 站账号的攻击手段出现了。中招的用户只要在网页上打开 B 站视频,就会触发一种恶性效果:无论播放什么内容,页面都会跳转到一个白色的界面上,并弹出红色文字提示“你的账号已被封禁”。

图片

此外,在跳出这一页面后,被攻击的用户账号会从最新视频开始以每秒 3-4 个的速度删除历史上传内容。被删除的视频无法恢复,尽管客户端暂未受影响,但攻击方式和命中机制尚不明确。视频还提醒用户,如担心账号安全,需谨慎选择使用网页端功能。

本以为是一次严重的“木马”病毒事件,殊不知,经网友进一步调查发现,实施攻击手段的根源是一名 B 站的内部员工倪某某,此次攻击也是其针对部分用户故意而为之。

而这究竟是怎么一回事?


图片

言语冲突导致职权的滥用

据悉,此次中招的并非是@老变态了了了 本人,而是他的朋友:

图片

其中,一位公开自己中招的用户昵称为“黄金鼠塔”,另一位则是“罗德兰屑罗素”。

论及这位 B 站员工为什么要这么做,据当事人之一的@罗德兰屑罗素 透露,起因是一条 3 年前的评论。

图片

随即 @黄金鼠塔 本人也在评论区回复道,此前是因为游戏观点而吵了起来。

图片

具体事情起因源于三年前 @黄金鼠塔 在一条视频下方留下了一句评论:

图片

回到 2025 年 1 月 8 日,这名 B 站员工突然出现在这条评论区,以收入、赚钱等字眼嘲讽了@黄金鼠塔:

图片

最终双方产生了言语矛盾。

在私聊过程中,这位 B站员工不断自曝身份,让对方注意其工作:

图片

还分享了自己的公司地址来挑衅:

图片

此外,他还多次发消息威胁用户:“会废掉你账号”

图片

图片

更是放言,自己拿着一天几千块的工资慢慢整你:

图片

甚至“开盒”用户:

图片

并声称“过几天客户端也给你 ban 了”。

图片

图片

根据公开信息显示,愤恨之际,这名员工也动起了“一些心思”,这也就有了文章伊始的代码“投毒”事件。

图片

据悉,这位员工名为倪某某,是 B 站的一名前端工程师,主要负责网页端弹幕引擎(DanmakuX)的开发与优化。

在这次事件中,他通过自己注册的域名加载恶意代码,代码来源被指向域名 hxxps://www.jakobzhao.online/main.js。公开信息显示,该域名注册于 1 月 13 日,目前已无 DNS 解析。

跳转的原理也很简单,就是通过一段 JS 代码让某些用户跳转到特定界面。

图片

虽然跳转的页面会显示“你的账号已被封禁”,但实则上述中招的用户账户本身并没有被封禁,看到的提示只是始作俑者在前端耍的一些小伎俩。

但是,戏耍他人带来的后果比众人想象得要严重。

更令人觉得有些意外的是,这名内部员工使用的手段并不高明,甚至在威胁用户的过程中,几乎是公开暴露自己的身份信息,这也是他能够被迅速锁定的主要原因。

一方面,他使用了实名制注册的 B 站账户来私信公然威胁用户。点击他的账号,网友发现他曾在 2023 年收集过用户反馈的问题,称“有助于我们后续进行修复”。

图片

这也很快让用户将其与 B 站内部员工挂钩。

另一方面,有网友发现他的个人博客(https://niyuancheng.top/,目前已打不开)和自己的 Bilibili、GitHub 账号都是有关联性的,其也在个人博客上介绍了自己任职于哔哩哔哩。

图片


图片

B 站:涉事员工已开除,中招用户补偿大会员

当网友发现这些蛛丝马迹之后,在第一时间也与 B 站客服进行了反馈与确认。

图片

图片

最终,得出了在网页端之外恶意代码定向修改其他用户网页端跳转的始作俑者即为 B 站内部员工的结论。

时下,据 @老变态了了了 最新发布的视频显示,在接到用户反馈后,B 站第一时间进行了调查,内部成立了专门的调查小组。

其视频显示,官方人员确认这个事情确实是属于一个内部员工违规操作导致的。按照公司政策标准,这名员工的行为已触及红线,因此 B 站对其做开除处理。同时,B 站也会上报到相应的一个监管部门,并在内部做一个相应的通报批评,以及对相关的主管人员进行处罚,引以为戒。

图片

如今这部分恶意代码已被删除,B 站也会对中招用户所被删除的动态进行恢复,同时对受害者给予年度大会员的赔偿。

图片


图片

网友热议

虽然此次代码投毒事件已经告一段落,但是也引起了巨大的争议。员工滥用职权实施恶意攻击的行为绝非小事,它不仅损害了用户权益,更暴露了平台管理和技术防护上的短板。

不少网友发问:“从发布到生产为什么都没有做任何 Code Review?”

图片

“那是权限黑客党的行为。因为个人恩怨,一下子造成整个用户群体的不便了。”

图片

图片

不可否认,防范代码投毒不仅仅是技术层面的挑战,更是企业管理和文化建设的问题。通过加强权限管理、实施最小权限原则、代码审查、员工培训以及内部安全文化的建设,可以从源头上减少代码投毒的风险。同时,定期进行外部安全审计和建立应急响应机制,确保一旦发生问题能够迅速应对并减少影响,都是非常必要的手段。

对此,你怎么看?

参考:

https://www.bilibili.com/video/BV1TqcueYEhG

https://www.bilibili.com/video/BV1PvcqeBEqn

https://www.zhihu.com/question/9842359834

https://www.cnbeta.com.tw/articles/tech/1472122.htm

图片