在前公司期间,自己写了套微信 API 的封装,代码全部上传到 github 上了,没注意把测试代码一起上传了,里面写死了公司的微信 api token ,不清楚前公司是通过啥手段扫描到了他们的 api ,反手就给我发了律师函,还让律师 call 我去公司写个什么道歉书,xdm 这个咋整,不会被告吧?
第 1 条附言 · 1 天前
楼里大哥们轻喷,当时我也是菜鸡一个,完全没有数据安全意识,也没想到我写的这坨会被 github 注意到,服了!
 |
1
lyq1234 1 天前  3
我看刑 过错在你只能配合道歉了
|
 |
2
xtreme1 1 天前
不是法院传票问题不大
|
 |
3
dapang1221 1 天前 2
你把代码上传 github 是为啥,代码是你工作的产出,属于公司,是不是经过公司允许才开源的这个很关键
|
 |
4
AlkaidLx 1 天前
好奇,这种能扫到私有库吗
|
 |
5
nickfox5880 1 天前 1
我有个疑问 怎么证明这个 github 是你?
|
 |
8
iOCZS 1 天前
道歉是不可能的,我只愿意赔偿 2 万。
|
 |
9
Moishine 1 天前
1. 如何证明 github 账号是你?
2. 如何证明密钥是你们公司的?已经失效,他们应该也还原不回来了吧。 |
 |
10
jacketma 1 天前
你也最好找个律师咨询一下,花不了几百块钱。虽然 AI 也能给你建议,不如经验丰富的律师实践经验多。
自己这边先默默把仓库删了,对方律师函那边不联系不回应不交流,装死就行了 |
 |
11
shmilyyan OP 问了 AI ,让我去自首,擦咧!
|
 |
12
Lyet813 1 天前 via Android
咨询律师
|
 |
13
ShowYourPrompt 1 天前 3
不是盈利目的,一口咬死工作失误。公司要索赔的话也要先证明造成的损失。大概率拿不出的,其他的任何文件都不要签,等他告就完事了,不要怕官司,你并没有造成真正的损失,法官会调解的
|
 |
14
gogo_tutu 1 天前 via iPhone
"没注意”,“不清楚”,“咋整”
|
|
15
gogo_tutu 1 天前 via iPhone
保持节奏
|
|
16
ShowYourPrompt 1 天前
@ShowYourPrompt 另外,主动先删掉,删前记录下 star 数之类的,诚恳的说,并没有广泛传播
|
 |
17
weegc 1 天前
我有个疑问 怎么证明这个 github 是你?
|
 |
18
lusxh 1 天前 via iPhone
给你个思路,密钥这种东西,本来公司层面就要做好安全配置的,他们直接明文丢给你了,只要人操作就会有泄露的风险,他们将风险转嫁给你了。信息安全也是公司要保障的,这是他们的疏忽。
|
 |
19
niubilewodev 1 天前
想起了前司,关键词设置的那叫一个傻逼。
mod,svc…… 被扫出来还得写正式邮件解释 “mod 是 xx 语言求余的关键字,不是 aaa 业务的 bbb” “svc 是 k8s 中 service 资源的常见缩写,不是 yyy 业务中的 zzz” |
 |
20
94 1 天前 2
不是公司扫出来的,而是 GitHub 扫出来之后通知给腾讯,然后腾讯找到公司了……
- [Tencent Weixin now partners with GitHub to notify users if their credentials are exposed in a public repository - GitHub Changelog]( https://github.blog/changelog/2022-12-19-tencent-weixin-now-partners-with-github/) 不过你为什么要把这些仓库设置为 public ? |
 |
21
shiny PRO 用的是不是正经 AI ,我用 Gemini 和 ChatGPT 都说 建议“自首”是错误的法律判断
|
|
23
shmilyyan OP @dapang1221 #3 公司不是啥大企业,小作坊,封装的包是在我自己电脑写的,图方便上传到 github 了。
|
|
24
shiny PRO 2
AI 的建议是下面几条
1. 比如把仓库设为私有模式,但不要直接删除。先固定证据,然后再控制影响。(不然你甚至都无法证明 API Key 是已经失效的) 2. 不要留下道歉书之类的书面证据,这样公司可以主张你造成了损失 3. 如果公司主张确实造成损失,他们要举证才行 4. 找律师咨询才是正确的方式 律师函几百块钱就可以做一份,批量生产,并不代表什么,先找个专业的问问先吧,千万不要因为慌张自乱阵脚;错误的回应会让你非常被动 |
 |
26
Foxkeh 1 天前
我在前公司工作的时候,也是某个 github 项目被检出阿里云 oss 的 accessKey,被通知到公司了,后来一看,实际上就是官方老的 api 接口生成的 oss 对象地址里面就是会包含 accessKey 明文的, 而且也没证据显示 secret 被暴露. 最后下结论说风险可忽略.但领导为了稳妥起见把那个 key 替换掉了
|
 |
27
Serefrefee 1 天前
@shiny #24 非常同意第二条,不要留道歉书这种书面证据,让公司举证造成了什么损失
|
 |
28
anotherJ 1 天前
立马删除,道歉,讲好原因。
“当时我也是菜鸡一个,完全没有数据安全意识” “封装的包是在我自己电脑写的,图方便上传到 github 了” 这是最稳妥的方案了,不然公司反手一个起诉,泄露公司代码,让你赔钱都是轻的,严重的得坐牢(概率不大,你的行为得给公司带来损失)。 按上面的做,只要你跟公司没有啥深仇大恨,不会搞你的。 |
 |
31
jydeng 23 小时 56 分钟前
律师函能代表什么,吓唬你而已,让他起诉,如果没有造成损失的话不用慌。
|
 |
32
acbingo 23 小时 50 分钟前
anyway ,不管出于什么原因,在公司产出的代码都是属于公司的私有财产,不属于你的。。。公司要打官司,拿着这条告你就行了,完全没有反驳机会
以后要谨记这条哈,千万别把代码往 github 上了。要真的觉得那点产出有价值,记在脑子里,回家再敲一遍上传 反正我是觉得我在公司写出来的代码都是一坨 shit ,毫无价值,更别说传出去给别人看了 ─━ _ ─━✧ |
 |
33
zerovoid 23 小时 6 分钟前
你有问题,但是你前公司法务是不是吃太饱了,技术离职,把密钥重置不就行了,还找个法务折腾,还是说公司法务年底在冲 KPI 。
|
 |
35
labubu 22 小时 52 分钟前
不要怂,这种事情一怂就 gg
|
 |
36
triptipstop 22 小时 49 分钟前
最近多次看到 打工人要倒赔公司的例子 我始终认为打工人不担责 真要是刑事自然有人管
|
 |
37
ChinaCN 20 小时 53 分钟前
拉黑完事
|
 |
38
chempotato 20 小时 8 分钟前 via Android
@anotherJ 别吓唬人了大哥 怎么证明 github 账号是楼主的都不明确呢
|
 |
39
docx 20 小时 1 分钟前 via iPhone
装作不知道,他要证明这是你。还要证明有实际损失,这个难度不小。认了那就真坐实了
|
|
40
docx 19 小时 48 分钟前 via iPhone
看了下楼层,已经聊到“写好寄过去”,那你这麻烦了,现在说不知道也不好办了,进退两难啊
|
 |
41
aptandatp 19 小时 33 分钟前
额,没有实际损失,赔不了啥。
|
 |
42
cpstar 19 小时 8 分钟前
我就想知道,没有实际损失,即便去法院,诉讼请求怎么写。然后已经失效的 aksk ,能产生什么样的损失。
|
 |
43
chocolatesir 18 小时 44 分钟前
等法院传票吧,帮你想了几个辩点:
第一,否认 github 账号是你的,但是现在已经行不通了,你和公司沟通“手写道歉信”的过程中大概已经留下证据了,如果提这个法官觉得你不诚信,影响他对弱势群体的看法。如果没这出的话,你是自己电脑写的,github 账号邮箱什么的没暴露个人信息的话我觉得还是可以考虑的。现在你就先设置私有仓库吧。 第二,该密钥不是商业秘密,因为它已经过期,不符合商业秘密的三大特征,不具有可利用性,而且你是在测试环境下部署,里面的数据都是脱敏或者模拟的数据,该 token 只用于测试环境而非生产环境,无法造成损害结果。 第三,密钥没有被利用,公司没有实际损失。这是最重要的一点,公司很难证明它的实际损失。 第四,主观上无故意或者重大过失。 第五,公司亦有过错,代码审计和安全机制形同虚设。没有定期轮换密钥,离职后没有及时更换密钥。 不要在微信或者电话里给前司留下能当作“我错了”的证据了。 |
 |
44
shmilypeter 18 小时 21 分钟前
我给个建议吧,如果没写道歉书那就请律师,如果已经写了道歉书,那就立刻发疯,到公司顶楼蹲一蹲,公司忌惮你开大,自然会撤诉。
|
 |
45
renchong 18 小时 11 分钟前 1
现在你这个帖子也是证据了
|
 |
47
BeiChuanAlex 16 小时 25 分钟前
几个问题:
1.是不是用了公开的仓库,如果是为啥要用公开的仓库? 2.公司怎么知道这个 github 是你的? 3.公司的屎山破代码送我都不要,不明白为啥有人视作宝贝一样? |
 |
48
lj5525908 16 小时 18 分钟前
拉黑完事,当没有看到 下架仓库 毁尸灭迹,你就当无事发生 真能告你 是不可能发律师函的
|
 |
50
aino 7 小时 1 分钟前
不要实名上网啊 github 怎么会知道你是你呢 我猜你 github 留了很多个人信息
|
 |
51
chenyu0532 6 小时 52 分钟前
小作坊怕个毛,当时不知道、当时不清楚、当时不懂。等他告,能有个啥损失
|
 |
52
songco 6 小时 40 分钟前 via Android
你 push 上去的时候已经失效,还是之后才失效的?
有没有什么实际损失? 感觉不要理就行 公司估计也怕你上传了其他东西 公私分离是基本的,你这也太随意了 |
|
53
shmilyyan OP @aino #50 github 的提交记录里有我英文名,刚好这名字我在公司提交代码也用过,他们就联系上了。轻喷,当时小年轻一个没遭过社会的毒打。
|
 |
54
CodersZzz 6 小时 27 分钟前
就一个英文名就能确认是你吗
|
 |
55
redca 6 小时 21 分钟前
显然 现在写道歉信 就相当于把铁证交到公司手上~ 公司算盘很响
|
 |
56
toexplore 6 小时 7 分钟前
怎么证明 github 是你的
|
 |
57
linchen1987 5 小时 48 分钟前
有错就要认,挨打要站稳
|
 |
58
ThinkCat 5 小时 18 分钟前
纯保护自己的话,拉黑联系方式,库设置私有。 不过这个错误确实在你啊。
作为打工人,就别理了,让他们去折腾,得证明这个库是你的。 |
 |
59
jukanntenn 4 小时 2 分钟前
删掉 GitHub 账户就行了,毁灭证据,死不承认拿你没办法。
|
 |
60
irisdev 3 小时 33 分钟前
我建议你别写,写了后面更麻烦
|
|
61
shmilyyan OP 2
咨询了律师,让我干掉仓库,然后别理前公司就行了,他们没拿到我的任何实体证明之前,证明账号和代码是我上传的需要费老大劲了,就算最后能证明是我的账号并且是我传的,最后的定损还需要提供证明,损失是因为 token 泄露导致的实际损失,这块需要对方提供日志证明,但是吧这块功能最后是我写的,毛日志没有。
刚出社会遭了顿毒打,后面长记性了,xmd 千万别把打工期间的任何东西往公共平台上传啊! |
 |
62
GodIsJasonBourne 2 小时 44 分钟前
搞 IT 的应该熟记:github 入门起就该当做只读仓库。熟练后,个人愿意贡献的项目才能往上放。工作中的代码统统仍然当 github 为只读。
我工作期间一时好奇,把公司项目名称在百度随便一搜,就发现楼上研发老哥竟然把整个仓库传到 github 了!--- 关于“不清楚前公司是通过啥手段扫描到了他们的 api”的疑惑解答之一。 |
 |
63
jstony 2 小时 28 分钟前
op 别太慌了,律师函又不是传票,传票又不是判决书。
|
 |
64
qq1147 1 小时 53 分钟前
删除仓库,到时候法庭上对对方提出的证据三性均不予认可就行了,他们根本没法证明是你传的,其次只要没造成重大事故也不可能赔多少钱,吓唬你想让你赔钱的
|
 |
65
legendBro 1 小时 6 分钟前
程序员基本技能,删库跑路
|
Select Language