摘要:近日有网友在 B 站发表视频称,B 站某员工利用自己的职权擅自在整个哔哩哔哩网页版中加载恶意代码,被攻击的特定用户在点击任何视频后页面都会被替换为空白页面,并不断弹出红色文字“你的账号已被封禁”。
OSCHINA
近日有网友在 B 站发表视频称,B 站某员工利用自己的职权擅自在整个哔哩哔哩网页版中加载恶意代码,被攻击的特定用户在点击任何视频后页面都会被替换为空白页面,并不断弹出红色文字“你的账号已被封禁”。
事实上,这名员工并没有直接封禁用户账号的权限,而用户账号本身也没有被封禁,上面的提示只是纯前端实现的效果。
以上情况只会在 Web 端进行复现。
攻击原理为此“员工”利用自己权限推送代码,在页面跨域加入自己私人站点的 js 脚本。所有使用 Web 端用户都会加载这个代码,而攻击者读取用户信息对指定用户进行攻击。
第二百八十六条【破坏计算机信息系统罪(刑法第 286 条)】 违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。公开消息显示,这名员工主要负责哔哩哔哩网页端 DanmakuX 弹幕引擎的开发和优化,而引入这段恶意代码的原因仅仅只是为了攻击特定网友,据称该员工与其他 B 站网友在站内对喷后心生怨恨,于是利用自己的权限加载这段恶意代码。
网上流传的截图显示,这名 B 站员工加载的恶意代码通过 hxxps://www.jakobzhao.online/main.js 引入,据蓝点网检查该域名后发现,其注册时间是 1 月 13 日且当前处于无 DNS 解析状态。
而网友发布的视频最早是 1 月 12 日,也就是这名 B 站员工发起攻击的时间应该要更早,所以是否还使用其他域名进行攻击目前还不清楚,但其本人的个人博客地址 hxxps://niyuancheng.top/ 目前也同样处于 DNS 无解析状态,此前是可以正常访问的,这两件事应该也存在直接关联。
此外,该名员工疑有「开盒」「人肉」用户的情况。
一名受影响的 B 站 UP 主表示,该员工名为倪某,疑负责 B 站视频播放器,是 B 站持有专利「视频播放方法、装置、计算机设备及存储介质」的发明人之一。
此前,倪某在社交平台看到某 UP 主的观点不满,双方发生口角。
随后倪某表示知道该 UP 主家庭地址、宽带服务商等信息;并利用系统漏洞,让 UP 主点击 B 站视频时显示「你的账号已被封禁!!!」。
相关报道称,B 站客服表示网站漏洞已经被修补,涉事员工也已公示处罚。
经调查,该员工因与用户在网络上的口角纠纷,利用职务之便对用户进行恶意报复,性质极为恶劣。
目前,B 站已确认问题并成立内部小组进行处理,涉事员工已被开除。
同时,B 站已移除相关恶意代码,并建议用户清除浏览器缓存和 Cookies,以防止再次受到影响。
网上流传的信息显示,这名 B 站员工通过短信进行了道歉。
此次 B 站内部员工“投毒代码事件”引发了舆论的轩然大波。
在知乎平台上,一条“如何看待 2025 年 1 月 B 站员工人肉用户并删除用户视频事件?”贴子下方,ID 名为 Nauitas 的知乎用户回复称:
“人肉不人肉根本不是重点,重点是这么大一个上市公司,一个 00 后刚入职没多久的就有随便修改生产环境代码的权限,甚至可以说是生产环境里最重要的跟用户直接交互的前端界面代码。这次搞的太过分抓到了,那之前搞的不过分的呢?他们所有的软件代码里到底埋了多少雷?有多少暗中搞事情的后门? 强烈建议所有用户从现在开始立刻停用账户,停用 App,提取出所有余额,直接默认自己 B 站账号所有个人信息,历史记录,聊天记录,甚至装过 B 站 App 的手机内所有资料都早就已经全部泄露,来进行进一步应对以减少损失。”还有人认为,B 站的内部管理可能有问题,可能没有代码审查或代码审查比较宽松,导致恶意代码可以被轻易地推送到正式环境。
“如果前端被植入代码的话,攻击者理论上是可以代替用户操作的。包括但不限于代替用户发布评论弹幕、删除用户收藏等任何内容、查看用户未删除的历史记录。如果是客户端,甚至可以偷偷盗取用户数据。(Windows 这种权限控制机制和 沙盒机制 几乎没有的操作系统特别危险。) 看来软件还得是开源的才好。然而网页版……”最后回顾一下 B 站“冥场面”:
相关来源
↓分享、在看与点赞~Orz
来源:小宇科技观