首页 注册 登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
shmilyyan
V2EX  ›  职场话题

把前公司的微信 API 密钥(已失效)上传到了 github,被前公司扫出来了,律师函发我老家去了,这可咋整?

  •   
  •   shmilyyan · 11 小时 21 分钟前 · 3076 次点击
    在前公司期间,自己写了套微信 API 的封装,代码全部上传到 github 上了,没注意把测试代码一起上传了,里面写死了公司的微信 api token ,不清楚前公司是通过啥手段扫描到了他们的 api ,反手就给我发了律师函,还让律师 call 我去公司写个什么道歉书,xdm 这个咋整,不会被告吧?
    第 1 条附言  ·  9 小时 46 分钟前
    楼里大哥们轻喷,当时我也是菜鸡一个,完全没有数据安全意识,也没想到我写的这坨会被 github 注意到,服了!
  • 律师函
  • API
    48 条回复    2026-02-12 00:29:38 +08:00
    lyq1234
        1
    lyq1234  
       11 小时 8 分钟前   ❤️ 1
    我看刑 过错在你只能配合道歉了
    xtreme1
        2
    xtreme1  
       11 小时 7 分钟前
    不是法院传票问题不大
    dapang1221
        3
    dapang1221  
       11 小时 5 分钟前   ❤️ 2
    你把代码上传 github 是为啥,代码是你工作的产出,属于公司,是不是经过公司允许才开源的这个很关键
    AlkaidLx
        4
    AlkaidLx  
       11 小时 4 分钟前
    好奇,这种能扫到私有库吗
    nickfox5880
        5
    nickfox5880  
       11 小时 0 分钟前
    我有个疑问 怎么证明这个 github 是你?
    lynan
        6
    lynan  
       11 小时前
    @AlkaidLx 私有的肯定不行
    Moishine
        7
    Moishine  
       10 小时 59 分钟前   ❤️ 3
    @xtreme1 拿到了道歉书,就取证完成了
    iOCZS
        8
    iOCZS  
       10 小时 59 分钟前
    道歉是不可能的,我只愿意赔偿 2 万。
    Moishine
        9
    Moishine  
       10 小时 57 分钟前
    1. 如何证明 github 账号是你?
    2. 如何证明密钥是你们公司的?已经失效,他们应该也还原不回来了吧。
    jacketma
        10
    jacketma  
       10 小时 48 分钟前
    你也最好找个律师咨询一下,花不了几百块钱。虽然 AI 也能给你建议,不如经验丰富的律师实践经验多。
    自己这边先默默把仓库删了,对方律师函那边不联系不回应不交流,装死就行了
    shmilyyan
        11
    shmilyyan  
    OP
       10 小时 33 分钟前
    问了 AI ,让我去自首,擦咧!
    Lyet813
        12
    Lyet813  
       10 小时 29 分钟前 via Android
    咨询律师
    ShowYourPrompt
        13
    ShowYourPrompt  
       10 小时 25 分钟前   ❤️ 1
    不是盈利目的,一口咬死工作失误。公司要索赔的话也要先证明造成的损失。大概率拿不出的,其他的任何文件都不要签,等他告就完事了,不要怕官司,你并没有造成真正的损失,法官会调解的
    gogo_tutu
        14
    gogo_tutu  
       10 小时 24 分钟前 via iPhone
    "没注意”,“不清楚”,“咋整”
    gogo_tutu
        15
    gogo_tutu  
       10 小时 23 分钟前 via iPhone
    保持节奏
    ShowYourPrompt
        16
    ShowYourPrompt  
       10 小时 22 分钟前
    @ShowYourPrompt 另外,主动先删掉,删前记录下 star 数之类的,诚恳的说,并没有广泛传播
    weegc
        17
    weegc  
       10 小时 22 分钟前
    我有个疑问 怎么证明这个 github 是你?
    lusxh
        18
    lusxh  
       10 小时 11 分钟前 via iPhone
    给你个思路,密钥这种东西,本来公司层面就要做好安全配置的,他们直接明文丢给你了,只要人操作就会有泄露的风险,他们将风险转嫁给你了。信息安全也是公司要保障的,这是他们的疏忽。
    niubilewodev
        19
    niubilewodev  
       10 小时 11 分钟前
    想起了前司,关键词设置的那叫一个傻逼。
    mod,svc……
    被扫出来还得写正式邮件解释
    “mod 是 xx 语言求余的关键字,不是 aaa 业务的 bbb”
    “svc 是 k8s 中 service 资源的常见缩写,不是 yyy 业务中的 zzz”
    94
        20
    94  
       10 小时 3 分钟前
    不是公司扫出来的,而是 GitHub 扫出来之后通知给腾讯,然后腾讯找到公司了……

    - [Tencent Weixin now partners with GitHub to notify users if their credentials are exposed in a public repository - GitHub Changelog]( https://github.blog/changelog/2022-12-19-tencent-weixin-now-partners-with-github/)

    不过你为什么要把这些仓库设置为 public ?
    shiny
        21
    shiny  
    PRO
       9 小时 49 分钟前
    用的是不是正经 AI ,我用 Gemini 和 ChatGPT 都说 建议“自首”是错误的法律判断
    shmilyyan
        22
    shmilyyan  
    OP
       9 小时 46 分钟前
    @shiny #21 问的豆包,一本正经让我去前公司道歉,签字。
    shmilyyan
        23
    shmilyyan  
    OP
       9 小时 45 分钟前
    @dapang1221 #3 公司不是啥大企业,小作坊,封装的包是在我自己电脑写的,图方便上传到 github 了。
    shiny
        24
    shiny  
    PRO
       9 小时 41 分钟前   ❤️ 2
    AI 的建议是下面几条
    1. 比如把仓库设为私有模式,但不要直接删除。先固定证据,然后再控制影响。(不然你甚至都无法证明 API Key 是已经失效的)
    2. 不要留下道歉书之类的书面证据,这样公司可以主张你造成了损失
    3. 如果公司主张确实造成损失,他们要举证才行
    4. 找律师咨询才是正确的方式

    律师函几百块钱就可以做一份,批量生产,并不代表什么,先找个专业的问问先吧,千万不要因为慌张自乱阵脚;错误的回应会让你非常被动
    shiny
        25
    shiny  
    PRO
       9 小时 40 分钟前
    @shmilyyan 不要用这种安卓 AI
    Foxkeh
        26
    Foxkeh  
       9 小时 37 分钟前
    我在前公司工作的时候,也是某个 github 项目被检出阿里云 oss 的 accessKey,被通知到公司了,后来一看,实际上就是官方老的 api 接口生成的 oss 对象地址里面就是会包含 accessKey 明文的, 而且也没证据显示 secret 被暴露. 最后下结论说风险可忽略.但领导为了稳妥起见把那个 key 替换掉了
    Serefrefee
        27
    Serefrefee  
       9 小时 37 分钟前
    @shiny #24 非常同意第二条,不要留道歉书这种书面证据,让公司举证造成了什么损失
    anotherJ
        28
    anotherJ  
       9 小时 37 分钟前
    立马删除,道歉,讲好原因。
    “当时我也是菜鸡一个,完全没有数据安全意识”
    “封装的包是在我自己电脑写的,图方便上传到 github 了”
    这是最稳妥的方案了,不然公司反手一个起诉,泄露公司代码,让你赔钱都是轻的,严重的得坐牢(概率不大,你的行为得给公司带来损失)。
    按上面的做,只要你跟公司没有啥深仇大恨,不会搞你的。
    shmilyyan
        29
    shmilyyan  
    OP
       9 小时 35 分钟前
    @anotherJ #28 关键他们让我去公司当场签,我说我写好给他们寄过去都不行,我就有点慌了!
    anotherJ
        30
    anotherJ  
       9 小时 31 分钟前
    @shmilyyan 对小公司来说,这种操作主要属于杀鸡敬候吧,想让还在岗的那些人重视起来。
    jydeng
        31
    jydeng  
       9 小时 30 分钟前
    律师函能代表什么,吓唬你而已,让他起诉,如果没有造成损失的话不用慌。
    acbingo
        32
    acbingo  
       9 小时 25 分钟前
    anyway ,不管出于什么原因,在公司产出的代码都是属于公司的私有财产,不属于你的。。。公司要打官司,拿着这条告你就行了,完全没有反驳机会

    以后要谨记这条哈,千万别把代码往 github 上了。要真的觉得那点产出有价值,记在脑子里,回家再敲一遍上传

    反正我是觉得我在公司写出来的代码都是一坨 shit ,毫无价值,更别说传出去给别人看了 ─━ _ ─━✧
    zerovoid
        33
    zerovoid  
       8 小时 41 分钟前
    你有问题,但是你前公司法务是不是吃太饱了,技术离职,把密钥重置不就行了,还找个法务折腾,还是说公司法务年底在冲 KPI 。
    zerovoid
        34
    zerovoid  
       8 小时 37 分钟前
    @anotherJ #28 公司有这意识,那密钥早重置了,大概率软著都没申请,怎么证明是公司的代码。
    labubu
        35
    labubu  
       8 小时 27 分钟前
    不要怂,这种事情一怂就 gg
    triptipstop
        36
    triptipstop  
       8 小时 23 分钟前
    最近多次看到 打工人要倒赔公司的例子 我始终认为打工人不担责 真要是刑事自然有人管
    ChinaCN
        37
    ChinaCN  
       6 小时 28 分钟前
    拉黑完事
    chempotato
        38
    chempotato  
       5 小时 43 分钟前 via Android
    @anotherJ 别吓唬人了大哥 怎么证明 github 账号是楼主的都不明确呢
    docx
        39
    docx  
       5 小时 36 分钟前 via iPhone
    装作不知道,他要证明这是你。还要证明有实际损失,这个难度不小。认了那就真坐实了
    docx
        40
    docx  
       5 小时 22 分钟前 via iPhone
    看了下楼层,已经聊到“写好寄过去”,那你这麻烦了,现在说不知道也不好办了,进退两难啊
    aptandatp
        41
    aptandatp  
       5 小时 8 分钟前
    额,没有实际损失,赔不了啥。
    cpstar
        42
    cpstar  
       4 小时 42 分钟前
    我就想知道,没有实际损失,即便去法院,诉讼请求怎么写。然后已经失效的 aksk ,能产生什么样的损失。
    chocolatesir
        43
    chocolatesir  
       4 小时 19 分钟前
    等法院传票吧,帮你想了几个辩点:
    第一,否认 github 账号是你的,但是现在已经行不通了,你和公司沟通“手写道歉信”的过程中大概已经留下证据了,如果提这个法官觉得你不诚信,影响他对弱势群体的看法。如果没这出的话,你是自己电脑写的,github 账号邮箱什么的没暴露个人信息的话我觉得还是可以考虑的。现在你就先设置私有仓库吧。
    第二,该密钥不是商业秘密,因为它已经过期,不符合商业秘密的三大特征,不具有可利用性,而且你是在测试环境下部署,里面的数据都是脱敏或者模拟的数据,该 token 只用于测试环境而非生产环境,无法造成损害结果。
    第三,密钥没有被利用,公司没有实际损失。这是最重要的一点,公司很难证明它的实际损失。
    第四,主观上无故意或者重大过失。
    第五,公司亦有过错,代码审计和安全机制形同虚设。没有定期轮换密钥,离职后没有及时更换密钥。

    不要在微信或者电话里给前司留下能当作“我错了”的证据了。
    shmilypeter
        44
    shmilypeter  
       3 小时 56 分钟前
    我给个建议吧,如果没写道歉书那就请律师,如果已经写了道歉书,那就立刻发疯,到公司顶楼蹲一蹲,公司忌惮你开大,自然会撤诉。
    renchong
        45
    renchong  
       3 小时 46 分钟前
    现在你这个帖子也是证据了
    maxshq
        46
    maxshq  
       3 小时 27 分钟前
    @shmilyyan #22 咱们的 AI 怕不是 P 民驯化器嘞😭
    BeiChuanAlex
        47
    BeiChuanAlex  
       2 小时 0 分钟前
    几个问题:
    1.是不是用了公开的仓库,如果是为啥要用公开的仓库?
    2.公司怎么知道这个 github 是你的?
    3.公司的屎山破代码送我都不要,不明白为啥有人视作宝贝一样?
    lj5525908
        48
    lj5525908  
       1 小时 53 分钟前
    拉黑完事,当没有看到 下架仓库 毁尸灭迹,你就当无事发生 真能告你 是不可能发律师函的
    关于   ·   帮助文档   ·   自助推广系统   ·   博客   ·   API   ·   FAQ   ·   Solana   ·   1018 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 30ms · UTC 18:22 · PVG 02:22 · LAX 10:22 · JFK 13:22
    ♥ Do have faith in what you're doing.