40歲程序員「刪庫」被判7年:曾被無視 怒刪9TB財務數據
40歲鏈家程序員,曾向領導提出系統安全問題被無視,還被調整了工作,怒而刪除自家9TB數據庫。
段子一樣的「刪庫」事件不僅真實上演,最近還迎來了法院的最終判決。
而為恢複數據及系統,鏈家前後共花費18萬元。
近日,北京市海淀區人民法院最終判決:被告人犯破壞計算機信息系統罪,判處有期徒刑七年。
這起「刪庫」事件,是怎麼發生的?
2020年11月4日,判決書首次披露了這起事件的完整過程。
事情是這麼開始的。
2018年2月1日,被告人韓某入職鏈家,負責財務系統數據庫管理。
按照規定,韓某的權限,只能操作公司數據庫,但韓某稱,公司管理很亂,入職後就給了他登錄管理系統的權限。
這個權限,可以在系統上安裝、刪除相關應用程序。
韓某稱,自己在北京酒仙橋鏈家總部辦公時,曾經給領導發過郵件,稱這樣的系統是不安全的。
另一個數據庫管理員張某證實,他們曾向財務線、信息線領導彙報過財務系統的安全問題,但並未得到重視,甚至與信息線領導起過爭執。
2018年5月,韓某的辦公地點,從北京酒仙橋,調整到了上地六街的數字傳媒大廈八層。
這次的「刪庫」事件,就發生在上地六街。
2018年6月4日,經公司監控錄像,韓某於11點左右到工位上上班,18時左右離開公司。
當日下午14但35分,技術保障部人員發現,公司財務系統服務器應用程序出現故障,無法登錄。
技術人員到機房檢查,發現財務系統服務器(EBS系統)應用程序、9TB數據,被惡意刪除。這裡存放着公司自成立以來,所有的財務數據,直接影響公司人員工資發放。
公司緊急找杭州惜飛信息技術有限公司和小四科技(北京)有限公司,對數據進行恢復。
2018年6月6日,公司暫扣了5個接觸到公司財務系統的員工的電腦,韓某拒絕提供電腦名稱和密碼。
韓某稱,上班期間,他使用的是自己的筆記本電腦,因此名稱、密碼屬於個人隱私,公安機關可以用自己的方法檢查電腦。
2018年6月12日,數據恢復,鏈家共計花費18萬元。
通過日誌恢復與關聯分析,可以確定IP為10.33.35.160的終端用戶,在2018年6月4日14時至15時期間,遠程以root身份登錄至該服務器,通過執行rm、shred命令刪除了服務器中的數據文件,並擦除了當前用戶的所有操作日誌。
2018年7月31日,韓某被公安機關抓獲歸案。
調查發現,導出數據來源IP地址10.33.35.160在2018年6月4日期間的事件日誌,發現DHCP服務器於下午14:17分許分配給客戶端ID(設備MAC地址) EA-36-33-43-78-88,設備主機名Yggdrasil。
對被告人韓某的蘋果電腦進行提取後,調查人員發現,該電腦Wi-Fi的Mac地址為28-CF-E9-1C-48-13;該電腦中安裝有WiFiSpoof軟件;該電腦計算機系統為MacOSX10.13.5,主機名為Yggdrasil。
△WiFiSpoof界面,可用於更改MAC地址
在該電腦中的$InodeTable文件中檢索到與Mac地址28:CF:E9:1C:48:13相關記錄92條,檢索到與Mac地址EA:36:33:43:78:88相關記錄4條;該電腦中的終端記錄中包含shred與rm命令,該命令為本地執行命令。
2020年11月4日,依照《中華人民共和國刑法》第二百八十六條第一款、第二款之規定,北京市海淀區人民法院判決如下:
被告人韓某犯破壞計算機信息系統罪,判處有期徒刑七年。
判決下達後,被告人韓某不服,向北京市第一中級人民法院提起上訴。
對於這起上訴,辯護人的主要辯護意見為:
本案事實不清、證據不足,不能排除合理懷疑,應疑罪從無。電子數據鑒定意見的起始基準時間晚於案發一個多月,不能確定在此期間電子數據有無修改。現有證據不能證實韓某實施刪除行為的準確時間以及韓某實施了使用命令攻擊刪除行為。
不能排除系有漏洞和程序問題導致外介質因素入侵。是否造成系統全部癱瘓的事實不清、證據不足,刪除數據大小不明確。18萬元損失的認定證據不足,沒有第三方機構評估、鑒定等證據。韓某具有主觀惡性不大,未造成嚴重社會影響等從輕情節。
但在二審審理期間,上訴人韓某及辯護人均未向法庭提供新的證據。
經過調查,視頻服務器和涉案四台服務器,均未與標準時間校準,無法判斷監控時間與服務器時間的時間差,無法以視頻時間和服務器時間,排除韓某作案的可能。
2020年12月29日,北京市第一中級人民法院駁回上訴,維持原判。
「刪庫」事件細節,引發熱議
這起事件中的被害公司,是鏈家網。
鏈家網,前身叫做「鏈家在線」,成立於2010年,並於2014年正式更名。
至於其主要負責的業務,想必大家都已經比較熟知,就是房產服務平台。
根據公開資料顯示,主要業務包括集房源信息搜索、產品研發、大數據處理、服務標準建立。
而財務數據,對於一家公司的重要性可想而知,對於鏈家如此規模的公司,出了這麼一檔子事,加之裁定書所曝光的細節內容,不禁引起了網友們的熱議。
首先是對於判決書中所提到的「數據恢復」內容,也就是「鏈家公司為恢複數據及重新構建財務系統共計花費人民幣18萬元」這句話。
有網友認為,根據如此描述來看,公司財務數據庫大概率沒有異地備份。
如果有備份的話,恢復系統只是「小時級」的體力活,不大可能需要18萬。
這麼看來,這家公司的IT管理太可怕了……
也有網友對判決的「18萬」做這樣的類比:
熱議的第二個點,便是對於韓某的「操作手法」。
也就是裁定書中所提到的「通過執行rm、shred命令刪除數據文件、擦除操作日誌等,刪除了財務數據及相關應用程序,致使公司財務系統無法登錄」。
網友直呼這是「程序員犯低級錯誤」。
也有認為「數據管理員技術太糙」的。
更技術流一些的網友,拋出了自己的困惑:
連MAC都改了,不知道改IP和主機名?
一般是先改IP,再改主機名,最後改MAC。
但拋去本案件細節熱議點,這起「刪庫」事件也再次將數據安全問題引入大眾的視線。
「刪庫」事件頻發,數據安全大於天
對於鏈家這起事件,網友認為非常的「可悲」,也道出了自己的困惑:
怎麼能不定期備份數據呢?
然而,類似的事情還真的是時有發生。
例如去年微盟的事件,程序員憑一己之力,便讓公司市值蒸發超10億,更殃及了300萬的商鋪,使其癱瘓。
從2020年2月23日晚起,微盟服務器的崩潰時間便長達53-125小時。
而此次事件,是微盟遭到了人為惡意破壞,而此人恰恰正是自家員工——研發中心運維部核心運維人員賀某。
這位程序員於2020年2月24日被上海市寶山區公安局刑事拘留;8月26日,寶山區人民法院刑事判決書(一審)公布, 判處有期徒刑六年。
並且賀某還自供是酒後因生活不如意、無力償還網貸等個人原因。
……
程序員「刪庫」事件頻發,也給企業和個人敲響了警鐘。
對於企業來說,「數據安全大於天」,在數字化時代的當下,如何做好數據備份,如何合理地讓相關IT部門來管理數據,應當是引起企業重視的問題。
對於程序員群體,因個人情緒、生活等引發的問題,以如此極端的手段來發泄,賭上個人的未來走上犯罪道路,着實不值當。
也希望「刪庫跑路」這樣的段子,永遠只是個段子。
畢竟現實中每一次重演,不僅有企業和用戶受損失,也有人要面臨法律的制裁,甚至失去自由。
