我可能在無意之間，破壞了黑客竊取西安市民數(shù)據(jù)的計(jì)劃。這幾天跟幾位熱心技術(shù)咖一起研究了西安一碼通，豐富了一些證據(jù)，才發(fā)現(xiàn)我的文章打草驚蛇了，有極大理由相信，某個(gè)黑客在布局。

故事要從我搜索「wangyanqiang. natappvip.cc」開始講起，非常遺憾，我距離真相，只差一次點(diǎn)擊。

當(dāng)時(shí)我不是在西安一碼通的小程序使用的服務(wù)網(wǎng)址列表中，看見一個(gè)「wangyanqiang. natappvip.cc」的服務(wù)網(wǎng)址嗎？

然后我慣例搜索了一下，在某個(gè)Gitlab代碼庫里發(fā)現(xiàn)了同樣的一段代碼，當(dāng)時(shí)我也是太緊張了，誤以為這個(gè)網(wǎng)站是代碼庫的鏡像，就把核心線索輕輕放過去了，而真相，就在這個(gè)網(wǎng)站上。

點(diǎn)開這個(gè)鏈接，我就發(fā)現(xiàn)了這個(gè)代碼庫和代碼。我當(dāng)時(shí)只要回到這個(gè)Gitlab代碼庫的首頁——大家猜我會發(fā)現(xiàn)什么？

我會發(fā)現(xiàn)西安一碼通小程序的全部代碼！??！而在我的文章發(fā)出來之后，這個(gè)代碼庫的維護(hù)者以光的速度把這個(gè)代碼庫下線了。幸好網(wǎng)頁上緩存還在，能夠證明我說的是真話。

這是一個(gè)2021年12月24日的緩存，代碼庫的IP地址是117.32.154.22，跟前面的核酸檢測預(yù)約小程序的地址完全一致，對吧？這說明，這個(gè)公開網(wǎng)絡(luò)上可以搜索得到的Gitlab代碼庫，很可能是西安一碼通小程序的代碼庫！

我們看看這個(gè)代碼庫都有什么。

1、xian-code-wechatapp 西安一碼通微信小程序，最后更新日期在2020年9月15日

2、wechat-antiepidemic 微信小程序-防疫碼（我差點(diǎn)又少打了一個(gè)i），最后更新日期在2020年9月30日

3、核酸檢測預(yù)約小程序，最后更新日期在2021年11月22日

4、console-security 控制臺，最后更新日期在2020年7月20日

很合理，甲方提出西安一碼通要增加核酸檢測預(yù)約的功能，然后開發(fā)人員在這個(gè)代碼庫上就增加了「核酸檢測預(yù)約小程序」的代碼，并且正式部署發(fā)布了。證據(jù)在西安本地寶上。

我再查一下這個(gè)代碼庫的IP歸屬地（117.32.154.22），也是在陜西電信的。

有網(wǎng)友跟我爆料說，他根據(jù)我的提示，搜索到了這個(gè)gitlab，檢索到了真正的xian-code-wechatapp 倉庫，對比代碼后，跟西安一碼通的代碼是高度相似的。

我利用公開信息做了檢索，查到相關(guān)開發(fā)人員的注冊信息為某公司人員公司郵箱，正是此次外包供應(yīng)商之一，而另一個(gè)開發(fā)人員，從公開信息看像是外包。所以請某公司不要再投訴我了，我說的都是真話。我做錯(cuò)了老老實(shí)實(shí)挨罵，你們做錯(cuò)了也請立正挨罵好不好？

從上述證據(jù)鏈條來看，這個(gè)代碼庫中的代碼，大概率就是西安一碼通小程序的源代碼，這個(gè)代碼庫，就是前端團(tuán)隊(duì)做開發(fā)時(shí)候的私有倉庫。

把涉及到西安1300萬人口的防疫健康碼的信息系統(tǒng)源代碼放在公網(wǎng)代碼庫上，開發(fā)團(tuán)隊(duì)的管理細(xì)粒度和安全防范意識，真的是薄弱到讓人出離憤怒。

太不正規(guī)了！

小程序等于是前端，把代碼庫放在公網(wǎng)上，等于所有源碼完全暴露在互聯(lián)網(wǎng)上。黑客不用抓包就可以看到接口怎么請求，比如如何調(diào)用data.xa.gov.cn這個(gè)西安大數(shù)據(jù)管理局網(wǎng)站。

第一個(gè)風(fēng)險(xiǎn)，黑客可以通過爆破的方式盜走數(shù)據(jù)，第二個(gè)風(fēng)險(xiǎn)，是黑客可以隨時(shí)隨地對接口進(jìn)行ddos攻擊，直接把網(wǎng)站搞癱瘓；我現(xiàn)在都會懷疑1月4日西安一碼通服務(wù)崩掉，是不是被某些不懷好意的人ddos攻擊了。

這樣也能解釋，黑客為什么要故意建立一個(gè)李鬼網(wǎng)站testian.cn了。為什么所有二級域名都一模一樣？因?yàn)楹诳鸵呀?jīng)看到了西安一碼通的全部源代碼，哪些網(wǎng)址對外開放服務(wù)，黑客是門兒清的。

而第三個(gè)極低可能的風(fēng)險(xiǎn)，是黑客有可能用這個(gè)代碼，在testxian那個(gè)美國服務(wù)器上搭建一個(gè)一模一樣的西安一碼通，等于做了一個(gè)李鬼網(wǎng)站，反正生成的二維碼和界面，都是一模一樣的。但是這種假的防疫碼小程序，絕對不可能通過騰訊的審核。

而第四個(gè)可能性最小的風(fēng)險(xiǎn)，是黑客先攻破了117.32.154.22這個(gè)西安一碼通的代碼庫，然后提交了一版修改，在其中把testixian網(wǎng)址改成了testxian；接下來用DDoS癱瘓掉西安一碼通，賭開發(fā)團(tuán)隊(duì)會不會回滾歷史版本，實(shí)現(xiàn)貍貓換太子的操作。

事實(shí)上西安一碼通在12月22日，已經(jīng)回滾過一次了。但是小程序代碼里的業(yè)務(wù)域名，如果在白名單沒有配置，是根本跑不起來的，所以，會不會是業(yè)務(wù)域名被改動(dòng)，才導(dǎo)致西安一碼通在1月4日再次崩潰？

我反查了一下注冊testxian.cn的這個(gè)寧某某，也找到了他的QQ（已經(jīng)隱藏），通過注冊郵箱反查，我發(fā)現(xiàn)這位大兄弟一直在注冊各種奇怪的域名組合，

然后大部分域名解析的地址，都會導(dǎo)流到跟testxian.cn一樣的IP地址103.224.182.249上，但是他注冊別的域名時(shí)，基本上只會綁定一個(gè)一級域名，為什么在注冊testxian.cn之后，會一股腦的注冊了9個(gè)跟正版李逵一樣的二級域名呢？這可不是蹭熱度能解釋的。

打開他注冊的域名，比如socpk.cn，打開是這個(gè)樣子的；

一路點(diǎn)下去，發(fā)現(xiàn)會導(dǎo)流到一個(gè)naasonscience.com的網(wǎng)站，而這個(gè)網(wǎng)站還讓我有點(diǎn)肝顫，大家感受一下。但是這塊的原理，我就不大了解了，希望高手幫我解惑。

總結(jié)

1、開發(fā)團(tuán)隊(duì)層層外包，管理松散，甚至不規(guī)范到把代碼庫放在公網(wǎng)上，而且還被搜索引擎檢索得到，黑客毫不費(fèi)力就得到了西安一碼通的全部代碼；也有理由懷疑黑客已經(jīng)攻破了這個(gè)代碼庫的后臺。

2、西安一碼通開發(fā)團(tuán)隊(duì)還使用內(nèi)網(wǎng)穿透服務(wù)，存在嚴(yán)重?cái)?shù)據(jù)安全隱患——數(shù)據(jù)走第三方后，誰來保證數(shù)據(jù)安全？這可是西安市民的個(gè)人信息和防疫數(shù)據(jù)。

3、寧某某在2021年12月31日建立了一個(gè)高仿李鬼網(wǎng)站testxian.cn，而且注冊了跟正版完全一致的9個(gè)二級域名。目的不明，但肯定不是好人及以上身份。這個(gè)人注冊的其他域名，會指向一個(gè)做醫(yī)學(xué)研究的英文網(wǎng)站。

4、2022年1月4日，西安一碼通再次崩潰。次日，西安大數(shù)據(jù)管理局局長劉軍被撤職。

開發(fā)團(tuán)隊(duì)有漏洞、管理松散、有人建立了高仿網(wǎng)站、西安一碼通二次崩潰，這其中究竟有沒有關(guān)聯(lián)呢？局外人不得而知。

但是西安一碼通花了2583萬（來自西安市大數(shù)據(jù)資源管理局（匯總）2020年度部門決算），其中花了幾百萬購買了安恒信息的安全產(chǎn)品，還有啟明星辰的網(wǎng)絡(luò)安全服務(wù)外包392萬，不能說對安全不上心，但是這也架不住開發(fā)團(tuán)隊(duì)把代碼庫放在公網(wǎng)這種自毀安全長城的操作??！

西安一碼通宕機(jī)，背后有沒有黑客作祟，我不得而知；但是從我發(fā)現(xiàn)的線索來看，黑客有了代碼，就完全不需要暴力破解這種攻擊行為，直接繞開各種安全防范手段，進(jìn)行定點(diǎn)爆破，也是很輕松的事兒。

在互聯(lián)網(wǎng)時(shí)代，業(yè)務(wù)和數(shù)據(jù)安全防范意識，真的要時(shí)刻銘記在心；因?yàn)槟悴恢烙卸嗌匐p眼睛，在暗地窺伺著寶貴的數(shù)據(jù)，保障安全，要靠所有人共同的努力。我的微信「heyrenyi」，歡迎熱心網(wǎng)友加我提供線索，人人為我，我為人人。

PS1：感謝一位不愿意暴露ID的熱心大廠開發(fā)者的技術(shù)指導(dǎo)！

PS2：在互聯(lián)網(wǎng)時(shí)代，大家明白信息搜索的價(jià)值了吧？

PS3：源代碼放在公網(wǎng)這個(gè)事，已經(jīng)神奇得超出了我的認(rèn)知范圍，就像把金庫鑰匙放在銀行門口石獅子嘴里一樣，某公司好自為之吧。