40岁程序员“删库”被判7年:曾被无视 怒删9TB财务数据
2021年1月11日 | by tgcode
40 岁链家程序员,曾向领导提出系统安全问题被无视,还被调整了工作,怒而删除自家 9TB 数据库。
段子一样的“删库”事件不仅真实上演,最近还迎来了法院的最终判决。
而为恢复数据及系统,链家前后共花费 18 万元。
近日,北京市海淀区人民法院最终判决:被告人犯破坏计算机信息系统罪,判处有期徒刑七年。
这起“删库”事件,是怎么发生的?
2020 年 11 月 4 日,判决书首次披露了这起事件的完整过程。
事情是这么开始的。
2018 年 2 月 1 日,被告人韩某入职链家,负责财务系统数据库管理。
按照规定,韩某的权限,只能操作公司数据库,但韩某称,公司管理很乱,入职后就给了他登录管理系统的权限。
这个权限,可以在系统上安装、删除相关应用程序。
韩某称,自己在北京酒仙桥链家总部办公时,曾经给领导发过邮件,称这样的系统是不安全的。
另一个数据库管理员张某证实,他们曾向财务线、信息线领导汇报过财务系统的安全问题,但并未得到重视,甚至与信息线领导起过争执。
2018 年 5 月,韩某的办公地点,从北京酒仙桥,调整到了上地六街的数字传媒大厦八层。
这次的“删库”事件,就发生在上地六街。
2018 年 6 月 4 日,经公司监控录像,韩某于 11 点左右到工位上上班,18 时左右离开公司。
当日下午 14 但 35 分,技术保障部人员发现,公司财务系统服务器应用程序出现故障,无法登录。
技术人员到机房检查,发现财务系统服务器(EBS 系统)应用程序、9TB 数据,被恶意删除。这里存放着公司自成立以来,所有的财务数据,直接影响公司人员工资发放。
公司紧急找杭州惜飞信息技术有限公司和小四科技(北京)有限公司,对数据进行恢复。
2018 年 6 月 6 日,公司暂扣了 5 个接触到公司财务系统的员工的电脑,韩某拒绝提供电脑名称和密码。
韩某称,上班期间,他使用的是自己的笔记本电脑,因此名称、密码属于个人隐私,公安机关可以用自己的方法检查电脑。
2018 年 6 月 12 日,数据恢复,链家共计花费 18 万元。
通过日志恢复与关联分析,可以确定 IP 为 10.33.35.160 的终端用户,在 2018 年 6 月 4 日 1tgcode4 时至 15 时期间,远程以 root 身份登录至该服务器,通过执行 rm、shred 命令删除了服务器中的数据文件,并擦除了当前用户的所有操作日志。
2018 年 7 月 31 日,韩某被公安机关抓获归案。
调查发现,导出数据来源 IP 地址 10.33.35.160 在 2018 年 6 月 4 日期间的事件日志,发现 DHCP 服务器于下午 14:17 分许分配给客户端 ID(设备 MAC 地址)EA-36-33-43-78-88,设备主机名 Yggdrasil。
对被告人韩某的苹果电脑进行提取后,调查人员发现,该电脑 Wi-Fi 的 Mac 地址为 28-CF-E9-1C-48-13;该电脑中安装有 WiFiSpoof 软件;该电脑计算机系统为 MacOSX10.13.5,主机名为 Yggdrasil。
△WiFiSpoof 界面,可用于更改 MAC 地址
在该电脑中的$InodeTable 文件中检索到与 Mac 地址 28:CF:E9:1C:48:13 相关记录 92 条,检索到与 Mac 地址 EA:36:33:43:78:88 相关记录 4 条;该电脑中的终端记录中包含 shred 与 rm 命令,该命令为本地执行命令。
2020 年 11 月 4 日,依照《中华人民共和国刑法》第二百八十六条第一款、第二款之规定,北京市海淀区人民法院判决如下:
被告人韩某犯破坏计算机信息系统罪,判处有期徒刑七年。
判决下达后,被告人韩某不服,向北京市第一中级人民法院提起上诉。
对于这起上诉,辩护人的主要辩护意见为:
本案事实不清、证据不足,不能排除合理怀疑,应疑罪从无。电子数据鉴定意见的起始基准时间晚于案发一个多月,不能确定在此期间电子数据有无修改。现有证据不能证实韩某实施删除行为的准确时间以及韩某实施了使用命令攻击删除行为。
不能排除系有漏洞和程序问题导致外介质因素入侵。是否造成系统全部瘫痪的事实不清、证据不足,删除数据大小不明确。18 万元损失的认定证据不足,没有第三方机构评估、鉴定等证据。韩某具有主观恶性不大,未造成严重社会影响等从轻情节。
但在二审审理期间,上诉人韩某及辩护人均未向法庭提供新的证据。
经过调查,视频服务器和涉案四台服务器,均未与标准时间校准,无法判断监控时间与服务器时间的时间差,无法以视频时间和服务器时间,排除韩某作案的可能。
2020 年 12 月 29 日,北京市第一中级人民法院驳回上诉,维持原判。
“删库”事件细节,引发热议
这起事件中的被害公司,是链家网。
链家网,前身叫做“链家在线”,成立于 2010 年,并于 2014 年正式更名。
至于其主要负责的业务,想必大家都已经比较熟知,就是房产服务平台。
根据公开资料显示,主要业务包括集房源信息搜索、产品研发、大数据处理、服务标准建立。
而财务数据,对于一家公司的重要性可想而知,对于链家如此规模的公司,出了这么一档子事,加之裁定书所曝光的细节内容,不禁引起了网友们的热议。
首先是对于判决书中所提到的“数据恢复”内容,也就是“链家公司为恢复数据及重新构建财务系统共计花费人民币 18 万元”这句话。
有网友认为,根据如此描述来看,公司财务数据库大概率没有异地备份。
如果有备份的话,恢复系统只是“小时级”的体力活,不大可能需要 18 万。
这么看来,这家公司的 IT 管理太可怕了……
也有网友对判决的“18 万”做这样的类比:
热议的第二个点,便是对于韩某的“操作手法”。
也就是裁定书中所提到的“通过执行 rm、shred 命令删除数据文件、擦除操作日志等,删除了财务数据及相关应用程序,致使公司财务系统无法登录”。
网友直呼这是“程序员犯低级错误”。
也有认为“数据管理员技术太糙”的。
更技术流一些的网友,抛出了自己的困惑:
连 MAC 都改了,不知道改 IP 和主机名?
一般是先改 IP,再改主机名,最后改 MAC。
但抛去本案件细节热议点,这起“删库”事件也再次将数据安全问题引入大众的视线。
“删库”事件频发,数据安全大于天
对于链家这起事件,网友认为非常的“可悲”,也道出了自己的困惑:
怎么能不定期备份数据呢?
然而,类似的事情还真的是时有发生。
例如去年微盟的事件,程序员凭一己之力,便让公司市值蒸发超 10 亿,更殃及了 300 万的商铺,使其瘫痪。
从 2020 年 2 月 23 日晚起,微盟服务器的崩溃时间便长达 53-125 小时。
而此次事件,是微盟遭到了人为恶意破坏,而此人恰恰正是自家员工——研发中心运维部核心运维人员贺某。
这位程序员于 2020 年 2 月 24 日被上海市宝山区公安局刑事拘留;8 月 26 日,宝山区人民法院刑事判决书(一审)公布,判处有期徒刑六年。
并且贺某还自供是酒后因生活不如意、无力偿还网贷等个人原因。
……
程序员“删库”事件频发,也tgcode给企业和个人敲响了警钟。
对于企业来说,“数据安全大于天”,在数字化时代的当下,如何做好数据备份,如何合理地让相关 IT 部门来管理数据,应当是引起企业重视的问题。
对于程序员群体,因个人情绪、生活等引发的问题,以如此极端的手段来发泄,赌上个人的未来走上犯罪道路,着实不值当。
也希望“删库跑路”这样的段子,永远只是个段子。
毕竟现实中每一次重演,不仅有企业和用户受损失,也有人要面临法律的制裁,甚至失去自由。
文章来源于互联网:40岁程序员“删库”被判7年:曾被无视 怒删9TBtgcode财务数据
据外媒报道,微软联合创始人、大慈善家比尔盖茨(Bill Gates)在最新博客文章中呼吁美国早做准备,因为气候变化带来的破坏性远超当前新冠肺炎疫情。 盖茨写道:“尽管这种流行病很可怕,但气候变化的影响可能会更糟糕。这场全球健康危机震惊了整个世界,它…