数据泄密案例，大疆员工泄露公司源代码受到法律惩处

2022-07-07

据媒体报道，大疆公司源代码被泄露，中科院的研究生涉嫌泄露公司核心机密数据。深圳法院最近对大疆源代码泄露案做出一审判决。前职员因侵犯商业秘密罪被判处6个月有期徒刑和20万元罚款。
延伸阅读：企业源代码如何加密保护？

据报道，这些泄露的代码已被用于该公司的农业无人机产品，并具有实用性。尽管大疆公司采取了合理的保密措施，但该事件仍给大疆造成了116.4万元的经济损失。

安全研究员凯文菲尼斯特尔在2017年发现了一个漏洞，可能导致大疆用户数据泄露。凯文和他的合作伙伴编写了一份31页的漏洞报告，指出他们获得了大疆，无意中向GitHub发布的SSL认证私钥，从而获得了存储在大疆服务器上的敏感数据信息。

黑客可以使用这些密钥(密码)访问大疆用户上传的私人数据，不仅是飞行日志和航空照片，还有政府身份证、驾照和护照。在向大疆，菲尼斯特尔报告缺陷后，最初被告知他的BUG报告有资格获得最高30，000美元的奖金。然而，大疆为凯文签署保密协议创造了条件。凯文说，在双方谈判期间，大疆法律团队给他发了一封电子邮件，声明如果他不签字，他将被起诉使用《计算机欺诈和滥用法》。结果，他最终决定放弃奖金。

2017年9月1日至9月3日，大疆公司收到一封来自海外黑客的举报邮件，称其在GitHub网站上发现了一个包含大疆公司源代码和密钥等敏感信息的链接。GitHub网站是世界上最大的代码共享社区。程序员可以通过建立仓库在网站上存储代码，仓库分为公共仓库和私人仓库。公共仓库对全球所有GitHub用户都是可见的，用户可以搜索、查找和下载他人共享的代码以供使用。

随后，大疆立即展开调查，根据报告电子邮件提供的GitHub链接，确认上传的代码是被告李某，并要求李某删除上传到其GitHub仓库的代码。经调查，被告李某建立的GitHub仓库为公共仓库。其他用户可以搜索和下载上传的内容。

李某于2017年8月17日将该公司电脑中的未经加密的代码上传至其GitHub个人账户，包括与大疆公司核心机密源代码，并知道GitHub是一个公共代码仓库。据报道，这些泄露的代码已被用于该公司的农业无人机产品，并具有实用性。尽管大疆公司采取了合理的保密措施，但该事件仍给大疆造成了116.4万元的经济损失。