“刪庫”事件頻發(fā)，數(shù)據(jù)安全大于天

本文來源：量子位

本文作者：金磊、蕭簫

40歲鏈家程序員，曾向領(lǐng)導(dǎo)提出系統(tǒng)安全問題被無視，還被調(diào)整了工作，怒而刪除自家9TB數(shù)據(jù)庫。

段子一樣的“刪庫”事件不僅真實上演，最近還迎來了法院的最終判決。

而為恢復(fù)數(shù)據(jù)及系統(tǒng)，鏈家前后共花費(fèi)18萬元。

近日，北京市海淀區(qū)人民法院最終判決：被告人犯破壞計算機(jī)信息系統(tǒng)罪，判處有期徒刑七年。

這起“刪庫”事件，是怎么發(fā)生的？

2020年11月4日，判決書首次披露了這起事件的完整過程。

事情是這么開始的。

2018年2月1日，被告人韓某入職鏈家，負(fù)責(zé)財務(wù)系統(tǒng)數(shù)據(jù)庫管理。

按照規(guī)定，韓某的權(quán)限，只能操作公司數(shù)據(jù)庫。但韓某稱，公司管理很亂，入職后就給了他登錄管理系統(tǒng)的權(quán)限。

這個權(quán)限，可以在系統(tǒng)上安裝、刪除相關(guān)應(yīng)用程序。

韓某稱，自己在北京酒仙橋鏈家總部辦公時，曾經(jīng)給領(lǐng)導(dǎo)發(fā)過郵件，稱這樣的系統(tǒng)是不安全的。

另一個數(shù)據(jù)庫管理員張某證實，他們曾向財務(wù)線、信息線領(lǐng)導(dǎo)匯報過財務(wù)系統(tǒng)的安全問題，但并未得到重視，甚至與信息線領(lǐng)導(dǎo)起過爭執(zhí)。

2018年5月，韓某的辦公地點(diǎn)，從北京酒仙橋，調(diào)整到了上地六街的數(shù)字傳媒大廈八層。

這次的“刪庫”事件，就發(fā)生在上地六街。

2018年6月4日，經(jīng)公司監(jiān)控錄像，韓某于11點(diǎn)左右到工位上上班，18時左右離開公司。

當(dāng)日下午14:35分，技術(shù)保障部人員發(fā)現(xiàn)，公司財務(wù)系統(tǒng)服務(wù)器應(yīng)用程序出現(xiàn)故障，無法登錄。

技術(shù)人員到機(jī)房檢查，發(fā)現(xiàn)財務(wù)系統(tǒng)服務(wù)器（EBS系統(tǒng)）應(yīng)用程序、及9TB數(shù)據(jù)，被惡意刪除。這里存放著公司自成立以來，所有的財務(wù)數(shù)據(jù)，直接影響公司人員工資發(fā)放。

公司緊急找杭州惜飛信息技術(shù)有限公司、和小四科技（北京）有限公司，對數(shù)據(jù)進(jìn)行恢復(fù)。

2018年6月6日，公司暫扣了5個接觸到公司財務(wù)系統(tǒng)的員工的電腦，韓某拒絕提供電腦名稱和密碼。

韓某稱，上班期間，他使用的是自己的筆記本電腦，因此名稱、密碼屬于個人隱私，公安機(jī)關(guān)可以用自己的方法檢查電腦。

2018年6月12日，數(shù)據(jù)恢復(fù)，鏈家共計花費(fèi)18萬元。

通過日志恢復(fù)與關(guān)聯(lián)分析，可以確定IP為10.33.35.160的終端用戶，在2018年6月4日14時至15時期間，遠(yuǎn)程以root身份登錄至該服務(wù)器，通過執(zhí)行rm、shred命令刪除了服務(wù)器中的數(shù)據(jù)文件，并擦除了當(dāng)前用戶的所有操作日志。

2018年7月31日，韓某被公安機(jī)關(guān)抓獲歸案。

調(diào)查發(fā)現(xiàn)，導(dǎo)出數(shù)據(jù)來源IP地址10.33.35.160在2018年6月4日期間的事件日志，發(fā)現(xiàn)DHCP服務(wù)器于下午14:17分許分配給客戶端ID（設(shè)備MAC地址） EA-36-33-43-78-88，設(shè)備主機(jī)名Yggdrasil。

對被告人韓某的蘋果電腦進(jìn)行提取后，調(diào)查人員發(fā)現(xiàn)，該電腦Wi-Fi的Mac地址為28-CF-E9-1C-48-13；該電腦中安裝有WiFiSpoof軟件；該電腦計算機(jī)系統(tǒng)為MacOSX10.13.5，主機(jī)名為Yggdrasil。

△WiFiSpoof界面，可用于更改MAC地址

在該電腦中的$InodeTable文件中檢索到與Mac地址28：CF：E9：1C：48：13相關(guān)記錄92條，檢索到與Mac地址EA：36：33：43：78：88相關(guān)記錄4條；該電腦中的終端記錄中包含shred與rm命令，該命令為本地執(zhí)行命令。

2020年11月4日，依照《中華人民共和國刑法》第二百八十六條第一款、第二款之規(guī)定，北京市海淀區(qū)人民法院判決如下：

被告人韓某犯破壞計算機(jī)信息系統(tǒng)罪，判處有期徒刑七年。

判決下達(dá)后，被告人韓某不服，向北京市第一中級人民法院提起上訴。

對于這起上訴，辯護(hù)人的主要辯護(hù)意見為：

本案事實不清、證據(jù)不足，不能排除合理懷疑，應(yīng)疑罪從無。電子數(shù)據(jù)鑒定意見的起始基準(zhǔn)時間晚于案發(fā)一個多月，不能確定在此期間電子數(shù)據(jù)有無修改?，F(xiàn)有證據(jù)不能證實韓某實施刪除行為的準(zhǔn)確時間以及韓某實施了使用命令攻擊刪除行為。

不能排除系有漏洞和程序問題導(dǎo)致外介質(zhì)因素入侵。是否造成系統(tǒng)全部癱瘓的事實不清、證據(jù)不足，刪除數(shù)據(jù)大小不明確。18萬元損失的認(rèn)定證據(jù)不足，沒有第三方機(jī)構(gòu)評估、鑒定等證據(jù)。韓某具有主觀惡性不大，未造成嚴(yán)重社會影響等從輕情節(jié)。

但在二審審理期間，上訴人韓某及辯護(hù)人均未向法庭提供新的證據(jù)。

經(jīng)過調(diào)查，視頻服務(wù)器和涉案四臺服務(wù)器，均未與標(biāo)準(zhǔn)時間校準(zhǔn)，無法判斷監(jiān)控時間與服務(wù)器時間的時間差，無法以視頻時間和服務(wù)器時間，排除韓某作案的可能。

2020年12月29日，北京市第一中級人民法院駁回上訴，維持原判。

“刪庫”事件細(xì)節(jié)，引發(fā)熱議

這起事件中的被害公司，是鏈家網(wǎng)。

鏈家網(wǎng)，前身叫做“鏈家在線”，成立于2010年，并于2014年正式更名。

至于其主要負(fù)責(zé)的業(yè)務(wù)，想必大家都已經(jīng)比較熟知，就是房產(chǎn)服務(wù)平臺。

根據(jù)公開資料顯示，主要業(yè)務(wù)包括集房源信息搜索、產(chǎn)品研發(fā)、大數(shù)據(jù)處理、服務(wù)標(biāo)準(zhǔn)建立。

而財務(wù)數(shù)據(jù)，對于一家公司的重要性可想而知，對于鏈家如此規(guī)模的公司，出了這么一檔子事，加之裁定書所曝光的細(xì)節(jié)內(nèi)容，不禁引起了網(wǎng)友們的熱議。

首先是對于判決書中所提到的“數(shù)據(jù)恢復(fù)”內(nèi)容，也就是“鏈家公司為恢復(fù)數(shù)據(jù)及重新構(gòu)建財務(wù)系統(tǒng)共計花費(fèi)人民幣18萬元”這句話。

有網(wǎng)友認(rèn)為，根據(jù)如此描述來看，公司財務(wù)數(shù)據(jù)庫大概率沒有異地備份。

如果有備份的話，恢復(fù)系統(tǒng)只是“小時級”的體力活，不大可能需要18萬。

這么看來，這家公司的IT管理太可怕了……

也有網(wǎng)友對判決的“18萬”做這樣的類比：

熱議的第二個點(diǎn)，便是對于韓某的“操作手法”。

也就是裁定書中所提到的“通過執(zhí)行rm、shred命令刪除數(shù)據(jù)文件、擦除操作日志等，刪除了財務(wù)數(shù)據(jù)及相關(guān)應(yīng)用程序，致使公司財務(wù)系統(tǒng)無法登錄”。

網(wǎng)友直呼這是“程序員犯低級錯誤”。

也有認(rèn)為“數(shù)據(jù)管理員技術(shù)太糙”的。

更技術(shù)流一些的網(wǎng)友，拋出了自己的困惑：

連MAC都改了，不知道改IP和主機(jī)名？

一般是先改IP，再改主機(jī)名，最后改MAC。

但拋去本案件細(xì)節(jié)熱議點(diǎn)，這起“刪庫”事件也再次將數(shù)據(jù)安全問題引入大眾的視線。

“刪庫”事件頻發(fā)，數(shù)據(jù)安全大于天

對于鏈家這起事件，網(wǎng)友認(rèn)為非常的“可悲”，也道出了自己的困惑：

怎么能不定期備份數(shù)據(jù)呢？

然而，類似的事情還真的是時有發(fā)生。

例如去年微盟的事件，程序員憑一己之力，便讓公司市值蒸發(fā)超10億，更殃及了300萬的商鋪，使其癱瘓。

從2020年2月23日晚起，微盟服務(wù)器的崩潰時間便長達(dá)53-125小時。

而此次事件，是微盟遭到了人為惡意破壞，而此人恰恰正是自家員工——研發(fā)中心運(yùn)維部核心運(yùn)維人員賀某。

這位程序員于2020年2月24日被上海市寶山區(qū)公安局刑事拘留；8月26日，寶山區(qū)人民法院刑事判決書（一審）公布，判處有期徒刑六年。

并且賀某還自供是酒后因生活不如意、無力償還網(wǎng)貸等個人原因。……

程序員“刪庫”事件頻發(fā)，也給企業(yè)和個人敲響了警鐘。

對于企業(yè)來說，“數(shù)據(jù)安全大于天”，在數(shù)字化時代的當(dāng)下，如何做好數(shù)據(jù)備份，如何合理地讓相關(guān)IT部門來管理數(shù)據(jù)，應(yīng)當(dāng)是引起企業(yè)重視的問題。

對于程序員群體，因個人情緒、生活等引發(fā)的問題，以如此極端的手段來發(fā)泄，賭上個人的未來走上犯罪道路，著實不值當(dāng)。

也希望“刪庫跑路”這樣的段子，永遠(yuǎn)只是個段子。

畢竟現(xiàn)實中每一次重演，不僅有企業(yè)和用戶受損失，也有人要面臨法律的制裁，甚至失去自由。

參考鏈接：

一審刑事判決書：
https://wenshu.court.gov.cn/website/wenshu/181107ANFZ0BXSK4/index.html?docId=20c2a1fb04404493a474aca8009ae56d

二審刑事裁定書：
https://wenshu.court.gov.cn/website/wenshu/181107ANFZ0BXSK4/index.html?docId=ca312e28689b498a8ac1aca8009ac7fc

相關(guān)討論：
https://weibo.com/1642634100/JCd2MnsDh?type=comment
https://weibo.com/5140552811/JCdjSh7gv?type=comment#_rnd1610243959635

~END~