在前公司期间,自己写了套微信 API 的封装,代码全部上传到 github 上了,没注意把测试代码一起上传了,里面写死了公司的微信 api token ,不清楚前公司是通过啥手段扫描到了他们的 api ,反手就给我发了律师函,还让律师 call 我去公司写个什么道歉书,xdm 这个咋整,不会被告吧?
第 1 条附言 6 天前
楼里大哥们轻喷,当时我也是菜鸡一个,完全没有数据安全意识,也没想到我写的这坨会被 github 注意到,服了!
 | 1 lyq1234 6 天前  3 我看刑 过错在你只能配合道歉了 |
 | 2 xtreme1 6 天前 不是法院传票问题不大 |
 | 3 dapang1221 6 天前 2 你把代码上传 github 是为啥,代码是你工作的产出,属于公司,是不是经过公司允许才开源的这个很关键 |
 | 4 AlkaidLx 6 天前 好奇,这种能扫到私有库吗 |
 | 5 nickfox5880 6 天前 2 我有个疑问 怎么证明这个 github 是你? |
 | 8 iOCZS 6 天前 道歉是不可能的,我只愿意赔偿 2 万。 |
 | 9 Moishine 6 天前 1. 如何证明 github 账号是你? 2. 如何证明密钥是你们公司的?已经失效,他们应该也还原不回来了吧。 |
 | 10 jacketma 6 天前 你也最好找个律师咨询一下,花不了几百块钱。虽然 AI 也能给你建议,不如经验丰富的律师实践经验多。 自己这边先默默把仓库删了,对方律师函那边不联系不回应不交流,装死就行了 |
 | 11 shmilyyan OP 问了 AI ,让我去自首,擦咧! |
 | 12 Lyet813 6 天前 via Android 咨询律师 |
 | 13 ShowYourPrompt 6 天前 4 不是盈利目的,一口咬死工作失误。公司要索赔的话也要先证明造成的损失。大概率拿不出的,其他的任何文件都不要签,等他告就完事了,不要怕官司,你并没有造成真正的损失,法官会调解的 |
 | 14 gogo_tutu 6 天前 via iPhone "没注意”,“不清楚”,“咋整” |
 | 15 gogo_tutu 6 天前 via iPhone 保持节奏 |
| 16 ShowYourPrompt 6 天前 @ShowYourPrompt 另外,主动先删掉,删前记录下 star 数之类的,诚恳的说,并没有广泛传播 |
 | 17 weegc 6 天前 我有个疑问 怎么证明这个 github 是你? |
 | 18 lusxh 6 天前 via iPhone 给你个思路,密钥这种东西,本来公司层面就要做好安全配置的,他们直接明文丢给你了,只要人操作就会有泄露的风险,他们将风险转嫁给你了。信息安全也是公司要保障的,这是他们的疏忽。 |
 | 19 niubilewodev 6 天前 想起了前司,关键词设置的那叫一个傻逼。 mod,svc…… 被扫出来还得写正式邮件解释 “mod 是 xx 语言求余的关键字,不是 aaa 业务的 bbb” “svc 是 k8s 中 service 资源的常见缩写,不是 yyy 业务中的 zzz” |
 | 20 94 6 天前 3 不是公司扫出来的,而是 GitHub 扫出来之后通知给腾讯,然后腾讯找到公司了…… - [Tencent Weixin now partners with GitHub to notify users if their credentials are exposed in a public repository - GitHub Changelog]( https://github.blog/changelog/2022-12-19-tencent-weixin-now-partners-with-github/) 不过你为什么要把这些仓库设置为 public ? |
 | 21 shiny PRO 用的是不是正经 AI ,我用 Gemini 和 ChatGPT 都说 建议“自首”是错误的法律判断 |
| 23 shmilyyan OP @dapang1221 #3 公司不是啥大企业,小作坊,封装的包是在我自己电脑写的,图方便上传到 github 了。 |
| 24 shiny PRO 3 AI 的建议是下面几条 1. 比如把仓库设为私有模式,但不要直接删除。先固定证据,然后再控制影响。(不然你甚至都无法证明 API Key 是已经失效的) 2. 不要留下道歉书之类的书面证据,这样公司可以主张你造成了损失 3. 如果公司主张确实造成损失,他们要举证才行 4. 找律师咨询才是正确的方式 律师函几百块钱就可以做一份,批量生产,并不代表什么,先找个专业的问问先吧,千万不要因为慌张自乱阵脚;错误的回应会让你非常被动 |
 | 26 Foxkeh 6 天前 我在前公司工作的时候,也是某个 github 项目被检出阿里云 oss 的 accessKey,被通知到公司了,后来一看,实际上就是官方老的 api 接口生成的 oss 对象地址里面就是会包含 accessKey 明文的, 而且也没证据显示 secret 被暴露. 最后下结论说风险可忽略.但领导为了稳妥起见把那个 key 替换掉了 |
 | 27 Serefrefee 6 天前 @shiny #24 非常同意第二条,不要留道歉书这种书面证据,让公司举证造成了什么损失 |
 | 28 anotherJ 6 天前 立马删除,道歉,讲好原因。 “当时我也是菜鸡一个,完全没有数据安全意识” “封装的包是在我自己电脑写的,图方便上传到 github 了” 这是最稳妥的方案了,不然公司反手一个起诉,泄露公司代码,让你赔钱都是轻的,严重的得坐牢(概率不大,你的行为得给公司带来损失)。 按上面的做,只要你跟公司没有啥深仇大恨,不会搞你的。 |
 | 31 jydeng 6 天前 律师函能代表什么,吓唬你而已,让他起诉,如果没有造成损失的话不用慌。 |
 | 32 acbingo 6 天前 anyway ,不管出于什么原因,在公司产出的代码都是属于公司的私有财产,不属于你的。。。公司要打官司,拿着这条告你就行了,完全没有反驳机会 以后要谨记这条哈,千万别把代码往 github 上了。要真的觉得那点产出有价值,记在脑子里,回家再敲一遍上传 反正我是觉得我在公司写出来的代码都是一坨 shit ,毫无价值,更别说传出去给别人看了 ─━ _ ─━ |
 | 33 zerovoid 6 天前 你有问题,但是你前公司法务是不是吃太饱了,技术离职,把密钥重置不就行了,还找个法务折腾,还是说公司法务年底在冲 KPI 。 |
 | 35 labubu 6 天前 不要怂,这种事情一怂就 gg |
 | 36 triptipstop 6 天前 最近多次看到 打工人要倒赔公司的例子 我始终认为打工人不担责 真要是刑事自然有人管 |
 | 37 ChinaCN 6 天前 拉黑完事 |
 | 38 chempotato 6 天前 via Android @anotherJ 别吓唬人了大哥 怎么证明 github 账号是楼主的都不明确呢 |
 | 39 docx 6 天前 via iPhone 装作不知道,他要证明这是你。还要证明有实际损失,这个难度不小。认了那就真坐实了 |
| 40 docx 6 天前 via iPhone 看了下楼层,已经聊到“写好寄过去”,那你这麻烦了,现在说不知道也不好办了,进退两难啊 |
 | 41 aptandatp 6 天前 额,没有实际损失,赔不了啥。 |
 | 42 cpstar 6 天前 我就想知道,没有实际损失,即便去法院,诉讼请求怎么写。然后已经失效的 aksk ,能产生什么样的损失。 |
 | 43 chocolatesir 6 天前 等法院传票吧,帮你想了几个辩点: 第一,否认 github 账号是你的,但是现在已经行不通了,你和公司沟通“手写道歉信”的过程中大概已经留下证据了,如果提这个法官觉得你不诚信,影响他对弱势群体的看法。如果没这出的话,你是自己电脑写的,github 账号邮箱什么的没暴露个人信息的话我觉得还是可以考虑的。现在你就先设置私有仓库吧。 第二,该密钥不是商业秘密,因为它已经过期,不符合商业秘密的三大特征,不具有可利用性,而且你是在测试环境下部署,里面的数据都是脱敏或者模拟的数据,该 token 只用于测试环境而非生产环境,无法造成损害结果。 第三,密钥没有被利用,公司没有实际损失。这是最重要的一点,公司很难证明它的实际损失。 第四,主观上无故意或者重大过失。 第五,公司亦有过错,代码审计和安全机制形同虚设。没有定期轮换密钥,离职后没有及时更换密钥。 不要在微信或者电话里给前司留下能当作“我错了”的证据了。 |
 | 44 shmilypeter 6 天前 我给个建议吧,如果没写道歉书那就请律师,如果已经写了道歉书,那就立刻发疯,到公司顶楼蹲一蹲,公司忌惮你开大,自然会撤诉。 |
 | 45 renchong 6 天前 2 现在你这个帖子也是证据了 |
 | 47 BeiChuanAlex 6 天前 几个问题: 1.是不是用了公开的仓库,如果是为啥要用公开的仓库? 2.公司怎么知道这个 github 是你的? 3.公司的屎山破代码送我都不要,不明白为啥有人视作宝贝一样? |
 | 48 lj5525908 6 天前 拉黑完事,当没有看到 下架仓库 毁尸灭迹,你就当无事发生 真能告你 是不可能发律师函的 |
 | 50 aino 5 天前 不要实名上网啊 github 怎么会知道你是你呢 我猜你 github 留了很多个人信息 |
 | 51 chenyu0532 5 天前 小作坊怕个毛,当时不知道、当时不清楚、当时不懂。等他告,能有个啥损失 |
 | 52 songco 5 天前 via Android 你 push 上去的时候已经失效,还是之后才失效的? 有没有什么实际损失? 感觉不要理就行 公司估计也怕你上传了其他东西 公私分离是基本的,你这也太随意了 |
 | 54 CodersZzz 5 天前 就一个英文名就能确认是你吗 |
 | 55 redca 5 天前 显然 现在写道歉信 就相当于把铁证交到公司手上~ 公司算盘很响 |
 | 56 toexplore 5 天前 怎么证明 github 是你的 |
 | 57 linchen1987 5 天前 有错就要认,挨打要站稳 |
 | 58 ThinkCat 5 天前 纯保护自己的话,拉黑联系方式,库设置私有。 不过这个错误确实在你啊。 作为打工人,就别理了,让他们去折腾,得证明这个库是你的。 |
 | 59 jukanntenn 5 天前 删掉 GitHub 账户就行了,毁灭证据,死不承认拿你没办法。 |
 | 60 irisdev 5 天前 我建议你别写,写了后面更麻烦 |
| 61 shmilyyan OP 6 咨询了律师,让我干掉仓库,然后别理前公司就行了,他们没拿到我的任何实体证明之前,证明账号和代码是我上传的需要费老大劲了,就算最后能证明是我的账号并且是我传的,最后的定损还需要提供证明,损失是因为 token 泄露导致的实际损失,这块需要对方提供日志证明,但是吧这块功能最后是我写的,毛日志没有。 刚出社会遭了顿毒打,后面长记性了,xmd 千万别把打工期间的任何东西往公共平台上传啊! |
 | 62 GodIsJasonBourne 5 天前 搞 IT 的应该熟记:github 入门起就该当做只读仓库。熟练后,个人愿意贡献的项目才能往上放。工作中的代码统统仍然当 github 为只读。 我工作期间一时好奇,把公司项目名称在百度随便一搜,就发现楼上研发老哥竟然把整个仓库传到 github 了!--- 关于“不清楚前公司是通过啥手段扫描到了他们的 api”的疑惑解答之一。 |
 | 63 jstony 5 天前 op 别太慌了,律师函又不是传票,传票又不是判决书。 |
 | 64 qq1147 5 天前 删除仓库,到时候法庭上对对方提出的证据三性均不予认可就行了,他们根本没法证明是你传的,其次只要没造成重大事故也不可能赔多少钱,吓唬你想让你赔钱的 |
 | 65 legendBro 5 天前 程序员基本技能,删库跑路 |
 | 69 zhouyg 5 天前 你用的 什么 AI ,发出来先让大伙避避坑 |
 | 71 qingyingwan 4 天前 笑死,撒比豆包 AI 让人去自首签道歉信,真去了那就摊上事了。长见识了,感谢楼主。 |
Select Language