各类数据泄露事件越演越烈。在国内知名互联网企业中，首次出现了整个网站工程源码泄露的情况。

近日，开源及私有软件项目托管平台GitHub上，出现了名为“哔哩哔哩bilibili（下称：B站）网站后台工程源码”的项目。该项目中，有不少用户名密码被硬编码在代码里面，由于网站的开源性质，登录网站者均可使用。

泄露的后台工程源码中，除去部分用户的账号与密码之外，还有着许多用户们尚不知晓的“内幕”，甚至连签约UP的粉丝量、播放量等关键数据都可以经过系统进行作弊虚假处理。

也就是说，这份代码泄露会导致B站代码的很多隐患被曝光。如果黑客想通过B站后端代码攻击B站，以前他需要做的事情是逆向B站的代码，猜测其运作原理和漏洞位置，但现在他可以直接阅读源码，从中找到很多不为人知的漏洞。

这就为某些黑产提供了便利，例如，他会利用这份代码找到视频方面的漏洞然后盗取未公开视频；通连接到后台数据库做一些提权，获取用户信息。

目前Github已经封禁该页面。在遭到禁用之前，此库的issue看板一度积累了接近2000条回复。

随着B站的发展，其业务范围也在不断扩大，游戏代理、大会员、激励计划等的加入也赋予了曾经功能单一的B站账号大量的经济价值，若是大量账号失窃，其经济损失将难以估计。

针对此事，B站做出回应表示，经内部紧急核查，确认该部分代码属于较老的历史版本。B站的公告里表明已经执行了主动防御措施，并认为此事件不会影响网站安全和用户数据安全，且已第一时间报案，同时将彻查源头。但该声明随后又被删除。受此影响，B站股价盘前下跌4.07%。

此次暴露出的行业安全问题应该引起重视。研究人员发现，GitHub仍然存在数千个可公开访问的加密密钥。GitHub上的100,000多个代码存储库包含访问密钥，可以为攻击者提供对这些存储库（repos）或在线服务提供商服务的特权访问。

北卡罗来纳州立大学（NCSU）的研究人员在近六个月内扫描了近13％的GitHub公共存储库。在一篇揭示调查结果的论文中，他们说：“我们发现不仅秘密泄漏普遍存在 ——影响超过100,000个存储库 – 而且每天都有数千个新的，独特的秘密被泄露。”

企业对于数字化资产的私密度、保护意识急需加强。网络安全形势严峻，企业需要有完善的态势感知和应急体系，及时发现、及时处理才能将安全事件的损害降到最低。