把前公司的微信 API 密钥(已失效)上传到了 github,被前公司扫出来了,律师函发我老家去了,这可咋整?
shmilyyan · 9 小时 8 分钟前 · 2855 次点击在前公司期间,自己写了套微信 API 的封装,代码全部上传到 github 上了,没注意把测试代码一起上传了,里面写死了公司的微信 api token ,不清楚前公司是通过啥手段扫描到了他们的 api ,反手就给我发了律师函,还让律师 call 我去公司写个什么道歉书,xdm 这个咋整,不会被告吧?
第 1 条附言 · 7 小时 33 分钟前
楼里大哥们轻喷,当时我也是菜鸡一个,完全没有数据安全意识,也没想到我写的这坨会被 github 注意到,服了!
 |
1
lyq1234 8 小时 54 分钟前  1
我看刑 过错在你只能配合道歉了
|
 |
2
xtreme1 8 小时 53 分钟前
不是法院传票问题不大
|
 |
3
dapang1221 8 小时 52 分钟前 2
你把代码上传 github 是为啥,代码是你工作的产出,属于公司,是不是经过公司允许才开源的这个很关键
|
 |
4
AlkaidLx 8 小时 50 分钟前
好奇,这种能扫到私有库吗
|
 |
5
nickfox5880 8 小时 47 分钟前
我有个疑问 怎么证明这个 github 是你?
|
 |
8
iOCZS 8 小时 46 分钟前
道歉是不可能的,我只愿意赔偿 2 万。
|
 |
9
Moishine 8 小时 44 分钟前
1. 如何证明 github 账号是你?
2. 如何证明密钥是你们公司的?已经失效,他们应该也还原不回来了吧。 |
 |
10
jacketma 8 小时 35 分钟前
你也最好找个律师咨询一下,花不了几百块钱。虽然 AI 也能给你建议,不如经验丰富的律师实践经验多。
自己这边先默默把仓库删了,对方律师函那边不联系不回应不交流,装死就行了 |
 |
11
shmilyyan OP 问了 AI ,让我去自首,擦咧!
|
 |
12
Lyet813 8 小时 16 分钟前 via Android
咨询律师
|
 |
13
ShowYourPrompt 8 小时 11 分钟前 1
不是盈利目的,一口咬死工作失误。公司要索赔的话也要先证明造成的损失。大概率拿不出的,其他的任何文件都不要签,等他告就完事了,不要怕官司,你并没有造成真正的损失,法官会调解的
|
 |
14
gogo_tutu 8 小时 10 分钟前 via iPhone
"没注意”,“不清楚”,“咋整”
|
|
15
gogo_tutu 8 小时 10 分钟前 via iPhone
保持节奏
|
|
16
ShowYourPrompt 8 小时 9 分钟前
@ShowYourPrompt 另外,主动先删掉,删前记录下 star 数之类的,诚恳的说,并没有广泛传播
|
 |
17
weegc 8 小时 9 分钟前
我有个疑问 怎么证明这个 github 是你?
|
 |
18
lusxh 7 小时 58 分钟前 via iPhone
给你个思路,密钥这种东西,本来公司层面就要做好安全配置的,他们直接明文丢给你了,只要人操作就会有泄露的风险,他们将风险转嫁给你了。信息安全也是公司要保障的,这是他们的疏忽。
|
 |
19
niubilewodev 7 小时 57 分钟前
想起了前司,关键词设置的那叫一个傻逼。
mod,svc…… 被扫出来还得写正式邮件解释 “mod 是 xx 语言求余的关键字,不是 aaa 业务的 bbb” “svc 是 k8s 中 service 资源的常见缩写,不是 yyy 业务中的 zzz” |
 |
20
94 7 小时 50 分钟前
不是公司扫出来的,而是 GitHub 扫出来之后通知给腾讯,然后腾讯找到公司了……
- [Tencent Weixin now partners with GitHub to notify users if their credentials are exposed in a public repository - GitHub Changelog]( https://github.blog/changelog/2022-12-19-tencent-weixin-now-partners-with-github/) 不过你为什么要把这些仓库设置为 public ? |
 |
21
shiny PRO 用的是不是正经 AI ,我用 Gemini 和 ChatGPT 都说 建议“自首”是错误的法律判断
|
|
23
shmilyyan OP @dapang1221 #3 公司不是啥大企业,小作坊,封装的包是在我自己电脑写的,图方便上传到 github 了。
|
|
24
shiny PRO 1
AI 的建议是下面几条
1. 比如把仓库设为私有模式,但不要直接删除。先固定证据,然后再控制影响。(不然你甚至都无法证明 API Key 是已经失效的) 2. 不要留下道歉书之类的书面证据,这样公司可以主张你造成了损失 3. 如果公司主张确实造成损失,他们要举证才行 4. 找律师咨询才是正确的方式 律师函几百块钱就可以做一份,批量生产,并不代表什么,先找个专业的问问先吧,千万不要因为慌张自乱阵脚;错误的回应会让你非常被动 |
 |
26
Foxkeh 7 小时 24 分钟前
我在前公司工作的时候,也是某个 github 项目被检出阿里云 oss 的 accessKey,被通知到公司了,后来一看,实际上就是官方老的 api 接口生成的 oss 对象地址里面就是会包含 accessKey 明文的, 而且也没证据显示 secret 被暴露. 最后下结论说风险可忽略.但领导为了稳妥起见把那个 key 替换掉了
|
 |
27
Serefrefee 7 小时 24 分钟前
@shiny #24 非常同意第二条,不要留道歉书这种书面证据,让公司举证造成了什么损失
|
 |
28
anotherJ 7 小时 23 分钟前
立马删除,道歉,讲好原因。
“当时我也是菜鸡一个,完全没有数据安全意识” “封装的包是在我自己电脑写的,图方便上传到 github 了” 这是最稳妥的方案了,不然公司反手一个起诉,泄露公司代码,让你赔钱都是轻的,严重的得坐牢(概率不大,你的行为得给公司带来损失)。 按上面的做,只要你跟公司没有啥深仇大恨,不会搞你的。 |
 |
31
jydeng 7 小时 17 分钟前
律师函能代表什么,吓唬你而已,让他起诉,如果没有造成损失的话不用慌。
|
 |
32
acbingo 7 小时 12 分钟前
anyway ,不管出于什么原因,在公司产出的代码都是属于公司的私有财产,不属于你的。。。公司要打官司,拿着这条告你就行了,完全没有反驳机会
以后要谨记这条哈,千万别把代码往 github 上了。要真的觉得那点产出有价值,记在脑子里,回家再敲一遍上传 反正我是觉得我在公司写出来的代码都是一坨 shit ,毫无价值,更别说传出去给别人看了 ─━ _ ─━✧ |
 |
33
zerovoid 6 小时 28 分钟前
你有问题,但是你前公司法务是不是吃太饱了,技术离职,把密钥重置不就行了,还找个法务折腾,还是说公司法务年底在冲 KPI 。
|
 |
35
labubu 6 小时 14 分钟前
不要怂,这种事情一怂就 gg
|
 |
36
triptipstop 6 小时 10 分钟前
最近多次看到 打工人要倒赔公司的例子 我始终认为打工人不担责 真要是刑事自然有人管
|
 |
37
ChinaCN 4 小时 15 分钟前
拉黑完事
|
 |
38
chempotato 3 小时 30 分钟前 via Android
@anotherJ 别吓唬人了大哥 怎么证明 github 账号是楼主的都不明确呢
|
 |
39
docx 3 小时 22 分钟前 via iPhone
装作不知道,他要证明这是你。还要证明有实际损失,这个难度不小。认了那就真坐实了
|
|
40
docx 3 小时 9 分钟前 via iPhone
看了下楼层,已经聊到“写好寄过去”,那你这麻烦了,现在说不知道也不好办了,进退两难啊
|
 |
41
aptandatp 2 小时 55 分钟前
额,没有实际损失,赔不了啥。
|
 |
42
cpstar 2 小时 29 分钟前
我就想知道,没有实际损失,即便去法院,诉讼请求怎么写。然后已经失效的 aksk ,能产生什么样的损失。
|
 |
43
chocolatesir 2 小时 5 分钟前
等法院传票吧,帮你想了几个辩点:
第一,否认 github 账号是你的,但是现在已经行不通了,你和公司沟通“手写道歉信”的过程中大概已经留下证据了,如果提这个法官觉得你不诚信,影响他对弱势群体的看法。如果没这出的话,你是自己电脑写的,github 账号邮箱什么的没暴露个人信息的话我觉得还是可以考虑的。现在你就先设置私有仓库吧。 第二,该密钥不是商业秘密,因为它已经过期,不符合商业秘密的三大特征,不具有可利用性,而且你是在测试环境下部署,里面的数据都是脱敏或者模拟的数据,该 token 只用于测试环境而非生产环境,无法造成损害结果。 第三,密钥没有被利用,公司没有实际损失。这是最重要的一点,公司很难证明它的实际损失。 第四,主观上无故意或者重大过失。 第五,公司亦有过错,代码审计和安全机制形同虚设。没有定期轮换密钥,离职后没有及时更换密钥。 不要在微信或者电话里给前司留下能当作“我错了”的证据了。 |
 |
44
shmilypeter 1 小时 43 分钟前
我给个建议吧,如果没写道歉书那就请律师,如果已经写了道歉书,那就立刻发疯,到公司顶楼蹲一蹲,公司忌惮你开大,自然会撤诉。
|
 |
45
renchong 1 小时 33 分钟前
现在你这个帖子也是证据了
|
Select Language