B站员工滥用职权加载恶意代码用于封禁与他对喷的网友 目前已被开除并追责

声明：该文章来自（蓝点网）版权由原作者所有，K2OS渲染引擎提供网页加速服务。

据哔哩哔哩网友 @老变态了了了 发布的消息，哔哩哔哩某员工利用自己的职权擅自在整个哔哩哔哩网页版中加载恶意代码，这段恶意代码通过这名员工 (真实姓名为倪袁成) 自己注册的域名加载。

公开消息显示倪袁成主要负责哔哩哔哩网页端 DanmakuX 弹幕引擎的开发和优化，而引入这段恶意代码的原因仅仅只是为了攻击特定网友，目前猜测是倪袁成与其他 B 站网友在站内对喷后心生怨恨，于是利用自己的权限加载这段恶意代码。

被攻击的特定网友在点击任何视频后页面都会被替换为空白页面并弹出提示称「你的账号已被封禁」，但实际上倪袁成并没有直接封禁用户账号的权限，而用户账号本身也没有被封禁，看到的提示算是倪袁成在前端耍的小伎俩。

冲动的后果是什么呢？

从网友发布的视频中可以看到倪袁成与网友的对喷还挺多，后续的聊天显示倪袁成非常嚣张的报出网友办理的手机号码以及最近通过网页端观看视频的记录。

当然当时嘴有多爽现在心里估计就有多后悔，因为在网友反馈后 B 站已经排查并确认问题，随后给网友反馈称将这名员工 (B 站客服并未透露这名员工的姓名) 开除并将通报给监管机构，另外倪袁成的主管也遭到处罚。

B 站客服所说的通报给监管机构大概率说是 B 站会报警，毕竟这种利用权限私自引入恶意代码的行为已经是严重的违法犯罪行为，B 站不太可能直接开除了事。

但这也暴露 B 站的重大问题：

随话说日防夜防家贼难防，黑客并没有通过漏洞入侵 B 站，但倪袁成作为内部员工却成功引入了恶意代码，显然 B 站在代码审核和推送方面存在安全漏洞。

按理说推送新代码到生产版本中应该要经过审核和复核，估计这也是倪袁成主管也遭到处罚的原因之一，最起码也得背个管理不力和代码审核方面的黑锅。

目前 B 站已经清除这段恶意代码，建议用户清除浏览器缓存以及删除 Cookies 等数据彻底干掉倪袁成引入的这段 js。

[超站]友情链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
关注数据与安全，洞悉企业级服务市场：https://www.ijiandao.com/