事件起源于B站up主“老变态了了了”在1月12日发送的一个标题为“为什么我建议别用B站网页端了(攻击指定b站账号”的视频。视频中显示,某位用户点击进任何视频后,页面会被替换为空白页并弹出“你的账号已被封禁”。
以上情况只会在Web端进行复现。攻击原理为此“员工”利用自己权限推送代码,在页面跨域加入自己私人站点的js脚本。所有使用Web端用户都会加载这个代码,而攻击者读取用户信息对指定用户进行攻击。
后经他自爆外加网友挖掘,发现此人名为倪袁成,毕业于华东师范大学软件工程专业,负责了Web端DanmakuX弹幕引擎的开发和后续优化。据他本人简历介绍,此项目被使用到的场景:点播,直播,大会员,课堂,漫画,星辰等部门。攻击范围也和他负责的业务对应。
目前B站应该已经将此问题修复,相关视频也被限流无法直接显示在搜索列表中。如有不放心的,可以清除浏览器中bilibili站点的所有缓存和cookie。
