B站大瓜!员工滥用权限,写恶意代码攻击用户,竟然是因为...
B站最近瓜不少!又是利用直播间抽奖概率,最近又爆自家员工滥用权限,在用户使用网页端时,使特定用户弹出“您的账号已被封禁”。
https://img2024.cnblogs.com/blog/1326459/202501/1326459-20250121114745716-695146949.png
事实上这是一个定向攻击,当这些用户点击视频时,页面会忽然跳转到一个空缺页面,并弹出“您的账号已被封禁”的提示。
https://img2024.cnblogs.com/blog/1326459/202501/1326459-20250121114745757-2143121871.png
尽管账号并未真正被封禁,但这种利用对企业来说也非常伤害,他如今屏蔽的是某个用户,也可以导致全站用户都打不开。
它是怎么做到的?
这个B站开发,加载恶意代码用于封禁与他对喷的网友的详细利用方式是通过在用户的账号中添加违规代码和脚本,导致用户在正常访问B站时弹出账号被封禁的提示。就是下面这个脚本
https://img2024.cnblogs.com/blog/1326459/202501/1326459-20250121114745795-1247405340.jpg
说真话,这个利用虽然难度不大,但是在这么大的系统中内切这样一个脚本,没想事后果吗?
https://img2024.cnblogs.com/blog/1326459/202501/1326459-20250121114745761-577719935.png
后续处理
变乱曝光后,B站的反应速度值得肯定。他们在第一时间排查并确认了问题,并迅速接纳措施移除了恶意代码。同时,B站对涉事员工倪袁成进行了严肃处理——直接开除,并将其行为通报给监管机构。此外,倪袁成的主管也因管理不力而受到处罚。
B 站还建议用户清除浏览器缓存和 Cookies,以确保不再受到恶意代码的影响。
瓜因
抱着吃瓜心态,看看是怎么个事儿
事情的起因好像只是网络上的一场口角。B 站员工倪袁成,负责网页端 DanmakuX 弹幕引擎的开发和优化,本应专注于提升用户体验,却因与网友在站内发生争执,心生怨恨。他使用职务之便,在B站网页端加载恶意代码,定向攻击两位用户——黄金鼠塔和罗德兰屑罗素。
https://img2024.cnblogs.com/blog/1326459/202501/1326459-20250121114745794-875392684.png
https://img2024.cnblogs.com/blog/1326459/202501/1326459-20250121114745610-714077466.jpg
https://img2024.cnblogs.com/blog/1326459/202501/1326459-20250121114745853-1119066368.jpg
https://img2024.cnblogs.com/blog/1326459/202501/1326459-20250121114745814-1009173275.jpg
这位员工的权利看来不小。
https://img2024.cnblogs.com/blog/1326459/202501/1326459-20250121114745794-100498974.jpg
https://img2024.cnblogs.com/blog/1326459/202501/1326459-20250121114745790-686558244.jpg
B站的工资不低呢。
https://img2024.cnblogs.com/blog/1326459/202501/1326459-20250121114745810-596167298.jpg
https://img2024.cnblogs.com/blog/1326459/202501/1326459-20250121114745837-219319686.jpg
个人信息能随便拿到,还出来吓唬。
https://img2024.cnblogs.com/blog/1326459/202501/1326459-20250121114745815-805747671.jpg
末了结果
https://img2024.cnblogs.com/blog/1326459/202501/1326459-20250121114745832-1868772147.jpg
https://img2024.cnblogs.com/blog/1326459/202501/1326459-20250121114745868-358554555.jpg
网络不是法外之地,这位员工更是得不偿失,丢失一份不错的工作。
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]