大疆前员工泄露公司源代码，被罚 20 万、获刑半年

据南方都市报报道，深圳法院近日对大疆源代码泄露案做出一审判决，综合考虑犯罪情节以及自愿认罪、有悔罪表现，以侵犯商业秘密罪判处大疆前员工有期徒刑六个月，并处罚金20万人民币。据悉，这些泄露出去的代码，已用于该公司农业无人机产品，具有实用性。尽管大疆公司采取了合理的保密措施，但该次事件依然给大疆造成经济损失116.4万元人民币。

根据深圳市人民法院披露的内情，2017年安全研究员Kevin Finisterr在大疆的网络安全方面发现了一个非常严重的漏洞。这个漏洞能让攻击者获取到SSL证书的私钥，并允许他们访问存储在大疆服务器上的客户敏感信息，这使得大疆的所有旧密钥毫无用处，从而可能导致大疆服务器上的用户信息、飞行日志等私密信息能被下载。

黑客能够利用这些钥匙（密码）访问大疆用户上传的私人数据，不仅是飞行日志和航拍照片，而且还有政府 ID、驾照和护照。在向大疆报告了这一缺陷之后，Finisterre 最初被告知，他的 BUG 报告有资格获得 30000 美元的最高奖金。但是，大疆对 Kevin 开出了条件，要求他签署保密协议。Kevin 表示在双方协商期间，大疆的法务团队曾发给他一封邮件，表示如果不签署将会使用《计算机欺诈和滥用法》起诉他。因此他最终决定放弃这笔奖金，并公开了自己的经历，同时发表了一篇文章《为什么我放弃了大疆的 3w 奖金》，引起了媒体轰动。

随后经过大疆公司的调查，这个漏洞是大疆的一名前员工，将含有公司农业无人机的管理平台和农机喷洒系统两个模块的代码上传至 GitHub 网站的“公有仓库”，造成了源代码泄露。据悉，该员工之前在大疆的子公司担任软件工程师，负责编写农业无人机的管理平台和农机喷洒系统代码。他在 Github 开设账号，并建立了“公有仓库”，私自上传了代码。

众所周知，源代码意味着高新企业的财产权、竞争力乃至生命线，是公司千方百计保护的对象。

经鉴定，大疆这些泄露出去的代码具有非公知性，且已用于该公司农业无人机产品，属于商业秘密。经评估，这次泄漏公司造成经济损失116.4万元人民币。

案发后，这位员工第一时间删除了相关代码，并积极配合调查，防止事态扩大。他在推特上表示，“无意泄露了大疆的机密”、“我很后悔自己没有法律意识，我愿意承担相应的法律责任。”

Kevin Finisterr 在推特公布泄密员工的邮件

根据刑法规定，违反权利人关于保守商业秘密的要求，披露其所掌握的商业秘密，造成严重后果，应当以侵犯商业秘密罪追究刑事责任。

小结

据悉，Github网站是全球最大的代码分享社区，拥有超过900万开发者用户，GitHub 上的企业账号超过 210 万个，他们平均每天更新8万个并新建7千个软件库。对GitHub网站上托管的总计超过300万个软件库，其联合创始人Chris Wanstrath曾经形象地称其为“程序员的维基百科全书”。去年被微软斥巨资收购，足见其影响力。

在该网站上，程序员可以设立“公有仓库”或“私有仓库”存放代码，其中“公有仓库”对全球用户可见，用户可以通过搜索发现并下载别人分享的代码。

然而Github却经常发生一些信息泄露事件，前不久，一名为“openbilibili”的用户在Github上创建“go-common”代码库。据爆料称，该代码库为B站网站后台工程源码，其中包含大量B站用户密码。

据微博大V@互联网的那点事描述，源代码库中的用户名显示哔哩哔哩的邮箱，密码中则是“Test”+日期，应该是官方测试所用，暂未发现用户的账号密码泄露。

目前，B站尚未回应。