B站员工向代码投毒“封杀”用户账号，并放话：“拿着一天几千的工资整你”！_产品刘的专栏文章_微信文章

1月12日，有B站用户发布视频爆料，称某员工利用职权在B站网页版加载恶意代码，导致他的账号在点击任意视频时，页面变为空白，并弹出红色文字“你的账号已被封禁”。该用户还晒出了聊天记录，显示该员工威胁要封禁他的账号。

受影响的UP主透露，该员工倪某疑为B站视频播放器的负责人之一，也是“视频播放方法、装置、计算机设备及存储介质”专利的发明人之一。倪某因不满该UP主的观点，双方在社交平台发生争执。倪某不仅表示掌握对方的家庭地址和宽带信息，还通过系统漏洞对其进行恶意报复。

据 @罗德兰屑罗素在 B站发布的动态爆料，这名B站员工（倪某成）曾私信他表示：“看你身份证干嘛，直接封你账号就好了。既然你喜欢在网上找存在感，那我只能成全你了。”

截图来源：B 站用户 @罗德兰屑罗素发布的动态

这位员工甚至威胁道：“到时候别求我饶了你。我可不是随便说说的，你再想想我为什么总提我的工作，就能明白了。”

截图来源：B 站用户 @罗德兰屑罗素发布的动态

图片来源：bilibili 百度贴吧

1月16日，受害UP主发布最新进展，称B站内部成立了调查小组，确认系员工违规操作，并已将其开除，同时计划上报监管部门。此外，B站对相关主管进行内部通报批评和处罚，并向受害者赠送了一年大会员作为补偿，并承诺公开通报和道歉。

B站客服表示，已移除恶意代码，并建议用户清除浏览器缓存和 Cookies，以避免类似问题再次发生。

据说，这次的攻击方式很简单：员工利用自己的权限推送代码，在页面跨域加载了自己私人站点的 JS 脚本。所有使用网页版的用户都会加载这个代码，而这些脚本会读取用户信息并对特定用户进行攻击。

按照法律规定，这名员工实际上已经触犯了破坏计算机信息系统罪，如果追究到底，是需要承担刑事责任甚至坐牢的。

B站对此的处理仅仅是开除该员工，可以说已经非常宽容了。

但从公司的角度来看，这样的低调处理方式存在风险，因为可能会让B站陷入信任危机。最好的解决方法是公开道歉，对涉事人员进行严肃处理，甚至报警寻求帮助，将事情透明化，这样才能平息用户的不安情绪。

一名普通的员工就能滥用权限，在整个B站网页版中加载恶意代码并对用户进行定向攻击。那么，如果是拥有更高权限的员工或者公司管理层，会对用户账户、数据和隐私信息造成多大的威胁？

继续深思下去，这个问题的潜在风险是相当惊人的。

很多诈骗就是用户隐私泄露，一些诈骗机构根据用户的大数据情况，量身制定诈骗方案，普通用户防不胜防。

关于这名员工，我的看法是：既坏又蠢。

他坏得足够明显，但也正因为蠢得刚刚好，让这份坏显得有点滑稽，甚至变得没那么让人讨厌，算是一种无意中的“平衡”。

从整体来看，无论从哪个角度，这件事都显得十分愚蠢，完全不像一个有头脑的人会干出来的事。

先说用实名制的 B 站账号去私信威胁用户，还扬言“废掉别人的账号”。正常的攻击者都会注意隐匿行踪，哪有这么高调的？退一步讲，就算高调，也该用一个买来的账号或者挂个代理去操作，这其实并不难。

更离谱的是，他的个人博客和 B 站账号信息存在关联，稍微查一查就能连起来，形成一个完整的信息链条。而且他的博客还是实名的，甚至直接在博客中附上了自己的 B 站账号。再通过公开的专利检索，可以把他的账号和一些署名的专利联系起来，基本就能确认身份了。

整个攻击过程漏洞百出，完全可以用“愚蠢”来形容。攻击两名 B 站用户时，他几乎把自己的身份信息全暴露了，只需简单查阅公开资料，就能找到他，然后报警或者举报到他公司处理都很容易。

比如他用实名认证账号威胁受害者，公开预告攻击；没用假账号和跳板掩盖身份；直接针对两名受害者，完全没有隐藏自己的意图。就连科幻小说《三体》里的 ETO 都知道不该暴露杀死罗辑的想法。而他的网络账号之间相互关联，定位他根本不费力，随便交给警察处理都能轻松收网。

从 B 站的管理角度看，这还暴露了严重的安全问题。员工竟然能轻易植入恶意代码，哪怕只是简单的 JS 插件，也说明代码审核和发布流程存在巨大的隐患。

事情的核心问题并不在于员工滥用权限去人肉用户，而是权限管理的严重失控。

此外，我建立了各大城市的产品交流群，想进群小伙伴加微信： chanpin626 我拉你进群。 （加过微信：chanpin628或yw5201a1的别加，分享内容一样，有一个号就行）

关注微信公众号： 产品刘 可领取大礼包一份。

RECOMMEND

B站员工向代码投毒“封杀”用户账号，并放话：“拿着一天几千的工资整你”！