鏈家40歲員工刪除公司9T數(shù)據(jù),被判7年
根據(jù)北京市海淀區(qū)人民檢察院的指控, 2018 年 6 月 4 日 14 時(shí)許,韓冰(1980 年 11 月 25 日出生)在北京市海淀區(qū)上地三街福道大廈三層鏈家網(wǎng)公司,利用其擔(dān)任鏈家網(wǎng)(北京)科技有限公司數(shù)據(jù)庫(kù)管理員并掌握該公司財(cái)務(wù)系統(tǒng)“root”權(quán)限的便利,登錄該公司財(cái)務(wù)系統(tǒng),并將系統(tǒng)內(nèi)的財(cái)務(wù)數(shù)據(jù)及相關(guān)應(yīng)用程序刪除,致使該公司財(cái)務(wù)系統(tǒng)徹底無(wú)法訪問(wèn)。
據(jù)悉,被破壞的服務(wù)器是公司專(zhuān)門(mén)用于 EBS 系統(tǒng)的 2 臺(tái)數(shù)據(jù)庫(kù)服務(wù)器和 2 臺(tái)應(yīng)用服務(wù)器,2 臺(tái)數(shù)據(jù)庫(kù)服務(wù)器的 IP 地址分別為 10.10.26.33 和 10.10.26.34,2 臺(tái)應(yīng)用服務(wù)器的 IP 分別為 10.200.28.96 和 10.200.28.97。公司財(cái)務(wù)系統(tǒng)存放著公司成立以來(lái)所有的財(cái)務(wù)數(shù)據(jù),影響到公司人員的工資發(fā)放等,對(duì)公司整個(gè)運(yùn)行有非常重要的意義。該公司恢復(fù)數(shù)據(jù)及重新構(gòu)建該系統(tǒng)共計(jì)花費(fèi)人民幣 18 萬(wàn)元。
根據(jù)鏈家公司職業(yè)道德建設(shè)中心總監(jiān)周某的證詞,有權(quán)限進(jìn)入公司財(cái)務(wù)系統(tǒng)的只有技術(shù)保障部的五個(gè)人,當(dāng)公司發(fā)現(xiàn)財(cái)務(wù)系統(tǒng)出現(xiàn)問(wèn)題便收集了這五個(gè)人的電腦,其中四個(gè)人主動(dòng)上交了個(gè)人筆記本電腦和密碼,只有韓冰拒不交代自己的筆記本電腦密碼,因此認(rèn)定韓冰有嫌疑,其代表公司來(lái)報(bào)案。
鏈家公司技術(shù)保障部高級(jí)總監(jiān)則表示,韓冰稱(chēng)自己的電腦有隱私,密碼只能提供給公安機(jī)關(guān),或者只有他自己在場(chǎng)的情況下輸入密碼才能檢查,當(dāng)時(shí)的檢查中沒(méi)有發(fā)現(xiàn)電腦異常,但是這樣的檢查是完全不可能排除韓冰嫌疑的。公司財(cái)務(wù)系統(tǒng)被攻擊的方式只要是連接到服務(wù)器就可以執(zhí)行,這樣的操作是不會(huì)在電腦端留下痕跡的,只會(huì)在服務(wù)器上留下痕跡。公司當(dāng)時(shí)檢查每個(gè)人的電腦,執(zhí)行這些檢查的操作,主要是為了看韓冰等人的反映。公司確定是韓冰實(shí)施破壞行為與這次檢查沒(méi)有任何關(guān)系。這次檢查沒(méi)有取消對(duì)任何人的嫌疑,相反只有韓冰不提供自己電腦的用戶(hù)名和密碼,最終是由公司提供的多方證據(jù)而鎖定韓冰的。
國(guó)家信息中心電子數(shù)據(jù)司法鑒定中心司法鑒定意見(jiàn)書(shū),證實(shí)經(jīng)現(xiàn)場(chǎng)提取與檢驗(yàn)鑒定,現(xiàn)場(chǎng)登錄服務(wù)器后導(dǎo)出 IP 地址 10.33.35.160 在 2018 年 6 月 4 日期間事件日志,DHCP 服務(wù)器將 IP 地址 10.33.35.160 于 2018 年 6 月 4 日 14 時(shí) 17 分許分配給客戶(hù)端 ID(設(shè)備 MAC 地址)為 EA-36-33-43-78-88 的網(wǎng)絡(luò)接入設(shè)備,該設(shè)備的主機(jī)名為 Yggdrasil,14 時(shí) 47 分許同樣分配給客戶(hù)端 ID 為 EA-36-33-43-78-88 的網(wǎng)絡(luò)接入設(shè)備,該設(shè)備的主機(jī)名為 Yggdrasil;進(jìn)一步分析 IP 地址 10.33.35.160 在 2018 年 6 月 4 日期間所有上網(wǎng)行為記錄,將上網(wǎng)行為管理服務(wù)器中 IP 地址 10.33.35.160 在 6 月 1 日至 4 日期間所有網(wǎng)絡(luò)訪問(wèn)日志導(dǎo)出,上述日志中,可以明確 IP 地址 10.33.35.160 對(duì)應(yīng)的訪問(wèn)終端 MAC 地址為 EA-36-33-43-78-88,同 DHCP 服務(wù)器中提取的日志信息一致。該 IP 地址在 6 月 1 日至 4 日期間所有的網(wǎng)絡(luò)訪問(wèn)主要集中在 6 月 4 日 14 時(shí)至 15 時(shí) 28 分之間。可以確定 IP 地址 10.33.35.160 對(duì)應(yīng)的物理區(qū)域?yàn)楸本┦泻5韰^(qū)開(kāi)拓路 11 號(hào)福道大廈 3 樓交換機(jī)所覆蓋的網(wǎng)絡(luò)區(qū)域內(nèi)。
北京中海義信信息技術(shù)有限公司司法鑒定所司法鑒定意見(jiàn)書(shū),證實(shí)經(jīng)對(duì)被告人韓冰的蘋(píng)果電腦進(jìn)行提取,未檢索到該計(jì)算機(jī)登錄涉案服務(wù)器 IP:10.10.26.33,10.10.26.34,10.200.28.96,10.200.28.97 的記錄;該電腦計(jì)算機(jī)系統(tǒng)為 MacOSX10.13.5, 主機(jī)名為 Yggdrasil;該電腦 Wi-Fi 的 Mac 地址為 28-CF-E9-1C-48-13; 該電腦中安裝有 WiFiSpoof 軟件;在該電腦中的 $InodeTable 文件中檢索到與 Mac 地址 28:CF:E9:1C:48:13 相關(guān)記錄 92 條,檢索到與 Mac 地址 EA:36:33:43:78:88 相關(guān)記錄 4 條 ; 該電腦中的終端記錄中包含 shred 與 rm 命令,該命令為本地執(zhí)行命令。
北京通達(dá)法正司法鑒定中心司法鑒定意見(jiàn)書(shū),證實(shí)經(jīng)對(duì)其他四人持有的筆記本電腦進(jìn)行鑒定,四臺(tái)電腦的計(jì)算機(jī)名均不是 Yggdrasil,MAC 地址均不是 EA-36-33-43-78-88。四臺(tái)電腦 2018 年 6 月 4 日的行為日志中均未發(fā)現(xiàn)有登錄財(cái)務(wù)系統(tǒng)執(zhí)行 -shred、-rm 命令進(jìn)行刪除操作。
經(jīng)過(guò)對(duì)電腦記錄的鑒定以及鏈家提供的視頻資料等信息,法院一審認(rèn)定韓冰破壞計(jì)算機(jī)信息系統(tǒng)罪,判處有期徒刑七年。二審駁回上訴,維持原判。
至于這么做的原因,韓冰的證詞中并未體現(xiàn),但從同事的證詞來(lái)推測(cè),韓冰任職期間曾發(fā)現(xiàn)公司財(cái)務(wù)系統(tǒng)有安全問(wèn)題并發(fā)郵件告訴了鏈家的另一位數(shù)據(jù)庫(kù)管理員張某,二人開(kāi)會(huì)時(shí)向多位領(lǐng)導(dǎo)匯報(bào)了財(cái)務(wù)系統(tǒng)的安全問(wèn)題,建議公司啟動(dòng)安全項(xiàng)目來(lái)修復(fù)安全問(wèn)題,但領(lǐng)導(dǎo)們沒(méi)當(dāng)回事兒。
兩周之后,財(cái)務(wù)線工作的部門(mén)被劃到了信息線,二人又向信息線領(lǐng)導(dǎo)周小龍匯報(bào)了財(cái)務(wù)系統(tǒng)的安全問(wèn)題,并建議啟動(dòng)安全項(xiàng)目進(jìn)行修復(fù),但依舊沒(méi)有被采納,甚至在建議的過(guò)程中和周小龍起了爭(zhēng)執(zhí)。?
此外,鏈家公司職業(yè)道德建設(shè)中心總監(jiān)在證詞中提到:韓冰2018年2月到公司負(fù)責(zé)財(cái)務(wù)系統(tǒng)維護(hù),5月被調(diào)整至技術(shù)保障部,工作地點(diǎn)從朝陽(yáng)區(qū)酒仙橋總部調(diào)整至海淀區(qū)上地福道大廈。韓冰對(duì)組織調(diào)整有意見(jiàn),覺(jué)得自己不受重視,調(diào)整之后消極怠工,經(jīng)常遲到早退,也有曠工現(xiàn)象。
經(jīng)查看公司監(jiān)控錄像,韓冰于2018年6月4日11點(diǎn)左右到福道大廈三層西側(cè)自己的工作區(qū)域上班,當(dāng)天18時(shí)左右離開(kāi)公司。
回看 2020 年,刪庫(kù)事件接二連三:
1、2020 年 2 月 23 日 18 時(shí) 56 分許,賀某酒后因生活不如意、無(wú)力償還網(wǎng)貸等個(gè)人原因,在其暫住地上海市寶山區(qū)逸仙路 XXX 弄 XXX 號(hào) XXX 室,通過(guò)電腦連接公司虛擬專(zhuān)用網(wǎng)絡(luò)、登錄公司服務(wù)器后執(zhí)行刪除任務(wù),將微盟服務(wù)器內(nèi)數(shù)據(jù)全部刪除。
導(dǎo)致微盟自 2020 年 2 月 23 日 19 時(shí)起癱瘓,300 余萬(wàn)用戶(hù)(其中付費(fèi)用戶(hù) 7 萬(wàn)余戶(hù))無(wú)法正常使用該公司 SaaS 產(chǎn)品,經(jīng)搶修于 3 月 3 日 9 時(shí)恢復(fù)運(yùn)營(yíng)(故障時(shí)間 8 天 14 個(gè)小時(shí))。
最終,賀某犯破壞計(jì)算機(jī)信息系統(tǒng)罪,判處有期徒刑六年。
2、2020 年 4 月 13 日,王某因某網(wǎng)絡(luò)科技有限公司 駁回其開(kāi)發(fā)的 OBS 對(duì)象存儲(chǔ)服務(wù)代碼的獎(jiǎng)金要求,心懷不滿,便產(chǎn)生了報(bào)復(fù)公司的想法。
當(dāng)日 11 時(shí)許,王某在該公司使用 root 超級(jí)管理員賬戶(hù)登錄至華為云服務(wù)器的 FTP,修改了其開(kāi)發(fā)的 obs 對(duì)象存儲(chǔ)服務(wù)代碼,導(dǎo)致 2020 年 4 月 14 日 8 時(shí)至 9 時(shí) 35 分,某平臺(tái)運(yùn)行異常,該公司代發(fā)的政府電子消費(fèi)劵領(lǐng)取受阻,直至當(dāng)日 10 時(shí) 43 分,11225 名會(huì)員才領(lǐng)取完當(dāng)日電子消費(fèi)劵,給該平臺(tái)聲譽(yù)及會(huì)員收益造成嚴(yán)重影響。
最終,王某被判處拘役五個(gè)月、緩刑六個(gè)月。
這些事情告訴所有打工人:刪庫(kù)或許容易,但跑路是不可能的。最后,希望所有公司做好安全方案的同時(shí)善待打工人。
判決文書(shū):
https://wenshu.court.gov.cn/website/wenshu/181107ANFZ0BXSK4/index.html?docId=20c2a1fb04404493a474aca8009ae56d
https://wenshu.court.gov.cn/website/wenshu/181107ANFZ0BXSK4/index.html?docId=ca312e28689b498a8ac1aca8009ac7fc