某粉色网站员工被曝植入恶意代码报复用户事件,再次说明了世界就是一个巨大的草台班子。

起因就是该员工与网友在站内对喷后心生怨恨,利用自己的职权在整个网页端加载恶意代码,完成 XSS 攻击。

这个攻击说穿了其实非常简单,就是该员工在推送网页端代码到生产环境的时候,加多了一行导入私人站点里的脚本的代码。

所有使用网页端的用户都会加载这个脚本,这个脚本读取用户信息之后对指定的用户进行攻击。被攻击的网友在点击任何视频后页面显示白屏并弹出提示“你的账号已被封禁!!!!”。

但实际上该员工并没有直接封禁用户账号的权限,用户账号本身也没有被封禁,看到的提示只是该员工耍的前端小伎俩而已。

因为这种提示语实在是太幼稚了,导致了很多人其实没意识到这种行为的严重性。他在生产版本中插入的恶意外链脚本代码,这是针对所有用户的,理论上他可以操纵任意用户的前端,而不仅仅只能让事件中界面上显示几行恶意文本

另外他能拿到事件中用户的隐私信息并进行恐吓,也意味着他能拿到所有其他人的。一个没什么权限的员工都能随便拿到用户的住址名字这些个人信息,实在难以想象该公司的用户信息管理是怎么做的

该公司在多个平台都压了几天的热搜,但是架不住事件太恶劣了,最终给出的回复却只是开除了涉事员工,并没有其他回应,一些洗白话术无非就是谁家的产品没有几个BUG和谁家没几个垃圾员工呢

虽然说这位员工干的只是滥用职权的事儿,针对的也只是他想报复的两位up主,但该公司对此事轻描淡写的处理方式,是会让公司陷入信任危机的。

前不久的王星事件大家都还记忆犹新,电信诈骗的核心并不是那些源源不断跑出去搞电诈的人,而是国内的各种个人隐私信息泄露得太容易、太彻底了

电诈之所以能不断翻新骗法,甚至让那些接受过反诈宣传的人也防不胜防。正是因为现在的电诈不再是以前那种广撒网的套路了,而是通过获取精准的个人信息,量身定制专门的诈骗话术,这样就极大地提高了诈骗成功率

而电诈团伙能够源源不断地获取精准个人信息的根本原因也在于大量的泄露信息的行为没有受到法律追责,信息买卖在某些情况下得到了掩护。

从这次代码投毒事件也可以看出,即使是某些所谓的大厂,用户信息管理照样不到位,存在个别内部员工将他们接触到的用户信息进行出售的可能。但是这些公司自己似乎也懒得追查是谁读取、出售过这些信息,或者对这些行为压根就不在意。这样势必会引发用户与平台之间的信任危机。

一个平台的核心生存基础,就是用户的信任。如果用户连最基本的安全感都无法获得,那么无论平台其他方面做得多么出色,都无法吸引人注册使用。

信任是平台成功的基石,一旦失去,其他努力都将变得毫无意义