把前公司的微信 API 密钥(已失效)上传到了 github,被前公司扫出来了,律师函发我老家去了,这可咋整?
shmilyyan · 3 小时 35 分钟前 · 1834 次点击在前公司期间,自己写了套微信 API 的封装,代码全部上传到 github 上了,没注意把测试代码一起上传了,里面写死了公司的微信 api token ,不清楚前公司是通过啥手段扫描到了他们的 api ,反手就给我发了律师函,还让律师 call 我去公司写个什么道歉书,xdm 这个咋整,不会被告吧?
第 1 条附言 · 2 小时 0 分钟前
楼里大哥们轻喷,当时我也是菜鸡一个,完全没有数据安全意识,也没想到我写的这坨会被 github 注意到,服了!
 |
1
lyq1234 3 小时 21 分钟前
我看刑 过错在你只能配合道歉了
|
 |
2
xtreme1 3 小时 20 分钟前
不是法院传票问题不大
|
 |
3
dapang1221 3 小时 19 分钟前  2
你把代码上传 github 是为啥,代码是你工作的产出,属于公司,是不是经过公司允许才开源的这个很关键
|
 |
4
AlkaidLx 3 小时 17 分钟前
好奇,这种能扫到私有库吗
|
 |
5
nickfox5880 3 小时 14 分钟前
我有个疑问 怎么证明这个 github 是你?
|
 |
8
iOCZS 3 小时 12 分钟前
道歉是不可能的,我只愿意赔偿 2 万。
|
 |
9
Moishine 3 小时 11 分钟前
1. 如何证明 github 账号是你?
2. 如何证明密钥是你们公司的?已经失效,他们应该也还原不回来了吧。 |
 |
10
jacketma 3 小时 2 分钟前
你也最好找个律师咨询一下,花不了几百块钱。虽然 AI 也能给你建议,不如经验丰富的律师实践经验多。
自己这边先默默把仓库删了,对方律师函那边不联系不回应不交流,装死就行了 |
 |
11
shmilyyan OP 问了 AI ,让我去自首,擦咧!
|
 |
12
Lyet813 2 小时 43 分钟前 via Android
咨询律师
|
 |
13
ShowYourPrompt 2 小时 38 分钟前 1
不是盈利目的,一口咬死工作失误。公司要索赔的话也要先证明造成的损失。大概率拿不出的,其他的任何文件都不要签,等他告就完事了,不要怕官司,你并没有造成真正的损失,法官会调解的
|
 |
14
gogo_tutu 2 小时 37 分钟前 via iPhone
"没注意”,“不清楚”,“咋整”
|
|
15
gogo_tutu 2 小时 37 分钟前 via iPhone
保持节奏
|
|
16
ShowYourPrompt 2 小时 36 分钟前
@ShowYourPrompt 另外,主动先删掉,删前记录下 star 数之类的,诚恳的说,并没有广泛传播
|
 |
17
weegc 2 小时 36 分钟前
我有个疑问 怎么证明这个 github 是你?
|
 |
18
lusxh 2 小时 25 分钟前 via iPhone
给你个思路,密钥这种东西,本来公司层面就要做好安全配置的,他们直接明文丢给你了,只要人操作就会有泄露的风险,他们将风险转嫁给你了。信息安全也是公司要保障的,这是他们的疏忽。
|
 |
19
niubilewodev 2 小时 24 分钟前
想起了前司,关键词设置的那叫一个傻逼。
mod,svc…… 被扫出来还得写正式邮件解释 “mod 是 xx 语言求余的关键字,不是 aaa 业务的 bbb” “svc 是 k8s 中 service 资源的常见缩写,不是 yyy 业务中的 zzz” |
 |
20
94 2 小时 16 分钟前
不是公司扫出来的,而是 GitHub 扫出来之后通知给腾讯,然后腾讯找到公司了……
- [Tencent Weixin now partners with GitHub to notify users if their credentials are exposed in a public repository - GitHub Changelog]( https://github.blog/changelog/2022-12-19-tencent-weixin-now-partners-with-github/) 不过你为什么要把这些仓库设置为 public ? |
 |
21
shiny PRO 用的是不是正经 AI ,我用 Gemini 和 ChatGPT 都说 建议“自首”是错误的法律判断
|
|
23
shmilyyan OP @dapang1221 #3 公司不是啥大企业,小作坊,封装的包是在我自己电脑写的,图方便上传到 github 了。
|
|
24
shiny PRO 1
AI 的建议是下面几条
1. 比如把仓库设为私有模式,但不要直接删除。先固定证据,然后再控制影响。(不然你甚至都无法证明 API Key 是已经失效的) 2. 不要留下道歉书之类的书面证据,这样公司可以主张你造成了损失 3. 如果公司主张确实造成损失,他们要举证才行 4. 找律师咨询才是正确的方式 律师函几百块钱就可以做一份,批量生产,并不代表什么,先找个专业的问问先吧,千万不要因为慌张自乱阵脚;错误的回应会让你非常被动 |
 |
26
Foxkeh 1 小时 51 分钟前
我在前公司工作的时候,也是某个 github 项目被检出阿里云 oss 的 accessKey,被通知到公司了,后来一看,实际上就是官方老的 api 接口生成的 oss 对象地址里面就是会包含 accessKey 明文的, 而且也没证据显示 secret 被暴露. 最后下结论说风险可忽略.但领导为了稳妥起见把那个 key 替换掉了
|
 |
27
Serefrefee 1 小时 51 分钟前
@shiny #24 非常同意第二条,不要留道歉书这种书面证据,让公司举证造成了什么损失
|
 |
28
anotherJ 1 小时 50 分钟前
立马删除,道歉,讲好原因。
“当时我也是菜鸡一个,完全没有数据安全意识” “封装的包是在我自己电脑写的,图方便上传到 github 了” 这是最稳妥的方案了,不然公司反手一个起诉,泄露公司代码,让你赔钱都是轻的,严重的得坐牢(概率不大,你的行为得给公司带来损失)。 按上面的做,只要你跟公司没有啥深仇大恨,不会搞你的。 |
 |
31
jydeng 1 小时 44 分钟前
律师函能代表什么,吓唬你而已,让他起诉,如果没有造成损失的话不用慌。
|
 |
32
acbingo 1 小时 39 分钟前
anyway ,不管出于什么原因,在公司产出的代码都是属于公司的私有财产,不属于你的。。。公司要打官司,拿着这条告你就行了,完全没有反驳机会
以后要谨记这条哈,千万别把代码往 github 上了。要真的觉得那点产出有价值,记在脑子里,回家再敲一遍上传 反正我是觉得我在公司写出来的代码都是一坨 shit ,毫无价值,更别说传出去给别人看了 ─━ _ ─━✧ |
 |
33
zerovoid 55 分钟前
你有问题,但是你前公司法务是不是吃太饱了,技术离职,把密钥重置不就行了,还找个法务折腾,还是说公司法务年底在冲 KPI 。
|
 |
35
labubu 41 分钟前
不要怂,这种事情一怂就 gg
|
 |
36
triptipstop 37 分钟前
最近多次看到 打工人要倒赔公司的例子 我始终认为打工人不担责 真要是刑事自然有人管
|
Select Language