據(jù)嗶哩嗶哩網(wǎng)友?@老變態(tài)了了了?發(fā)布的消息，嗶哩嗶哩某員工利用自己的職權擅自在整個嗶哩嗶哩網(wǎng)頁版中加載惡意代碼，這段惡意代碼通過這名員工 (真實姓名為倪袁成) 自己注冊的域名加載。

公開消息顯示倪袁成主要負責嗶哩嗶哩網(wǎng)頁端 DanmakuX 彈幕引擎的開發(fā)和優(yōu)化，而引入這段惡意代碼的原因僅僅只是為了攻擊特定網(wǎng)友，目前猜測是倪袁成與其他 B 站網(wǎng)友在站內(nèi)對噴后心生怨恨，于是利用自己的權限加載這段惡意代碼。

被攻擊的特定網(wǎng)友在點擊任何視頻后頁面都會被替換為空白頁面并彈出提示稱「你的賬號已被封禁」，但實際上倪袁成并沒有直接封禁用戶賬號的權限，而用戶賬號本身也沒有被封禁，看到的提示算是倪袁成在前端耍的小伎倆。

沖動的后果是什么呢？

從網(wǎng)友發(fā)布的視頻中可以看到倪袁成與網(wǎng)友的對噴還挺多，后續(xù)的聊天顯示倪袁成非常囂張的報出網(wǎng)友辦理的手機號碼以及最近通過網(wǎng)頁端觀看視頻的記錄。

當然當時嘴有多爽現(xiàn)在心里估計就有多后悔，因為在網(wǎng)友反饋后 B 站已經(jīng)排查并確認問題，隨后給網(wǎng)友反饋稱將這名員工 (B 站客服并未透露這名員工的姓名) 開除并將通報給監(jiān)管機構，另外倪袁成的主管也遭到處罰。

B 站客服所說的通報給監(jiān)管機構大概率說是 B 站會報警，畢竟這種利用權限私自引入惡意代碼的行為已經(jīng)是嚴重的違法犯罪行為，B 站不太可能直接開除了事。

但這也暴露 B 站的重大問題：

隨話說日防夜防家賊難防，黑客并沒有通過漏洞入侵 B 站，但倪袁成作為內(nèi)部員工卻成功引入了惡意代碼，顯然 B 站在代碼審核和推送方面存在安全漏洞。

按理說推送新代碼到生產(chǎn)版本中應該要經(jīng)過審核和復核，估計這也是倪袁成主管也遭到處罰的原因之一，最起碼也得背個管理不力和代碼審核方面的黑鍋。

目前 B 站已經(jīng)清除這段惡意代碼，建議用戶清除瀏覽器緩存以及刪除 Cookies 等數(shù)據(jù)徹底干掉倪袁成引入的這段 js。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關注數(shù)據(jù)與安全，洞悉企業(yè)級服務市場：https://www.ijiandao.com/