“刪庫”事件頻發(fā)，數(shù)據(jù)安全大于天

本文來源：量子位

本文作者：金磊、蕭簫

40歲鏈家程序員，曾向領導提出系統(tǒng)安全問題被無視，還被調整了工作，怒而刪除自家9TB數(shù)據(jù)庫。

段子一樣的“刪庫”事件不僅真實上演，最近還迎來了法院的最終判決。

而為恢復數(shù)據(jù)及系統(tǒng)，鏈家前后共花費18萬元。

近日，北京市海淀區(qū)人民法院最終判決：被告人犯破壞計算機信息系統(tǒng)罪，判處有期徒刑七年。

這起“刪庫”事件，是怎么發(fā)生的？

2020年11月4日，判決書首次披露了這起事件的完整過程。

事情是這么開始的。

2018年2月1日，被告人韓某入職鏈家，負責財務系統(tǒng)數(shù)據(jù)庫管理。

按照規(guī)定，韓某的權限，只能操作公司數(shù)據(jù)庫。但韓某稱，公司管理很亂，入職后就給了他登錄管理系統(tǒng)的權限。

這個權限，可以在系統(tǒng)上安裝、刪除相關應用程序。

韓某稱，自己在北京酒仙橋鏈家總部辦公時，曾經(jīng)給領導發(fā)過郵件，稱這樣的系統(tǒng)是不安全的。

另一個數(shù)據(jù)庫管理員張某證實，他們曾向財務線、信息線領導匯報過財務系統(tǒng)的安全問題，但并未得到重視，甚至與信息線領導起過爭執(zhí)。

2018年5月，韓某的辦公地點，從北京酒仙橋，調整到了上地六街的數(shù)字傳媒大廈八層。

這次的“刪庫”事件，就發(fā)生在上地六街。

2018年6月4日，經(jīng)公司監(jiān)控錄像，韓某于11點左右到工位上上班，18時左右離開公司。

當日下午14:35分，技術保障部人員發(fā)現(xiàn)，公司財務系統(tǒng)服務器應用程序出現(xiàn)故障，無法登錄。

技術人員到機房檢查，發(fā)現(xiàn)財務系統(tǒng)服務器（EBS系統(tǒng)）應用程序、及9TB數(shù)據(jù)，被惡意刪除。這里存放著公司自成立以來，所有的財務數(shù)據(jù)，直接影響公司人員工資發(fā)放。

公司緊急找杭州惜飛信息技術有限公司、和小四科技（北京）有限公司，對數(shù)據(jù)進行恢復。

2018年6月6日，公司暫扣了5個接觸到公司財務系統(tǒng)的員工的電腦，韓某拒絕提供電腦名稱和密碼。

韓某稱，上班期間，他使用的是自己的筆記本電腦，因此名稱、密碼屬于個人隱私，公安機關可以用自己的方法檢查電腦。

2018年6月12日，數(shù)據(jù)恢復，鏈家共計花費18萬元。

通過日志恢復與關聯(lián)分析，可以確定IP為10.33.35.160的終端用戶，在2018年6月4日14時至15時期間，遠程以root身份登錄至該服務器，通過執(zhí)行rm、shred命令刪除了服務器中的數(shù)據(jù)文件，并擦除了當前用戶的所有操作日志。

2018年7月31日，韓某被公安機關抓獲歸案。

調查發(fā)現(xiàn)，導出數(shù)據(jù)來源IP地址10.33.35.160在2018年6月4日期間的事件日志，發(fā)現(xiàn)DHCP服務器于下午14:17分許分配給客戶端ID（設備MAC地址） EA-36-33-43-78-88，設備主機名Yggdrasil。

對被告人韓某的蘋果電腦進行提取后，調查人員發(fā)現(xiàn)，該電腦Wi-Fi的Mac地址為28-CF-E9-1C-48-13；該電腦中安裝有WiFiSpoof軟件；該電腦計算機系統(tǒng)為MacOSX10.13.5，主機名為Yggdrasil。

△WiFiSpoof界面，可用于更改MAC地址

在該電腦中的$InodeTable文件中檢索到與Mac地址28：CF：E9：1C：48：13相關記錄92條，檢索到與Mac地址EA：36：33：43：78：88相關記錄4條；該電腦中的終端記錄中包含shred與rm命令，該命令為本地執(zhí)行命令。

2020年11月4日，依照《中華人民共和國刑法》第二百八十六條第一款、第二款之規(guī)定，北京市海淀區(qū)人民法院判決如下：

被告人韓某犯破壞計算機信息系統(tǒng)罪，判處有期徒刑七年。

判決下達后，被告人韓某不服，向北京市第一中級人民法院提起上訴。

對于這起上訴，辯護人的主要辯護意見為：

本案事實不清、證據(jù)不足，不能排除合理懷疑，應疑罪從無。電子數(shù)據(jù)鑒定意見的起始基準時間晚于案發(fā)一個多月，不能確定在此期間電子數(shù)據(jù)有無修改。現(xiàn)有證據(jù)不能證實韓某實施刪除行為的準確時間以及韓某實施了使用命令攻擊刪除行為。

不能排除系有漏洞和程序問題導致外介質因素入侵。是否造成系統(tǒng)全部癱瘓的事實不清、證據(jù)不足，刪除數(shù)據(jù)大小不明確。18萬元損失的認定證據(jù)不足，沒有第三方機構評估、鑒定等證據(jù)。韓某具有主觀惡性不大，未造成嚴重社會影響等從輕情節(jié)。

但在二審審理期間，上訴人韓某及辯護人均未向法庭提供新的證據(jù)。

經(jīng)過調查，視頻服務器和涉案四臺服務器，均未與標準時間校準，無法判斷監(jiān)控時間與服務器時間的時間差，無法以視頻時間和服務器時間，排除韓某作案的可能。

2020年12月29日，北京市第一中級人民法院駁回上訴，維持原判。

“刪庫”事件細節(jié)，引發(fā)熱議

這起事件中的被害公司，是鏈家網(wǎng)。

鏈家網(wǎng)，前身叫做“鏈家在線”，成立于2010年，并于2014年正式更名。

至于其主要負責的業(yè)務，想必大家都已經(jīng)比較熟知，就是房產(chǎn)服務平臺。

根據(jù)公開資料顯示，主要業(yè)務包括集房源信息搜索、產(chǎn)品研發(fā)、大數(shù)據(jù)處理、服務標準建立。

而財務數(shù)據(jù)，對于一家公司的重要性可想而知，對于鏈家如此規(guī)模的公司，出了這么一檔子事，加之裁定書所曝光的細節(jié)內(nèi)容，不禁引起了網(wǎng)友們的熱議。

首先是對于判決書中所提到的“數(shù)據(jù)恢復”內(nèi)容，也就是“鏈家公司為恢復數(shù)據(jù)及重新構建財務系統(tǒng)共計花費人民幣18萬元”這句話。

有網(wǎng)友認為，根據(jù)如此描述來看，公司財務數(shù)據(jù)庫大概率沒有異地備份。

如果有備份的話，恢復系統(tǒng)只是“小時級”的體力活，不大可能需要18萬。

這么看來，這家公司的IT管理太可怕了……

也有網(wǎng)友對判決的“18萬”做這樣的類比：

熱議的第二個點，便是對于韓某的“操作手法”。

也就是裁定書中所提到的“通過執(zhí)行rm、shred命令刪除數(shù)據(jù)文件、擦除操作日志等，刪除了財務數(shù)據(jù)及相關應用程序，致使公司財務系統(tǒng)無法登錄”。

網(wǎng)友直呼這是“程序員犯低級錯誤”。

也有認為“數(shù)據(jù)管理員技術太糙”的。

更技術流一些的網(wǎng)友，拋出了自己的困惑：

連MAC都改了，不知道改IP和主機名？

一般是先改IP，再改主機名，最后改MAC。

但拋去本案件細節(jié)熱議點，這起“刪庫”事件也再次將數(shù)據(jù)安全問題引入大眾的視線。

“刪庫”事件頻發(fā)，數(shù)據(jù)安全大于天

對于鏈家這起事件，網(wǎng)友認為非常的“可悲”，也道出了自己的困惑：

怎么能不定期備份數(shù)據(jù)呢？

然而，類似的事情還真的是時有發(fā)生。

例如去年微盟的事件，程序員憑一己之力，便讓公司市值蒸發(fā)超10億，更殃及了300萬的商鋪，使其癱瘓。

從2020年2月23日晚起，微盟服務器的崩潰時間便長達53-125小時。

而此次事件，是微盟遭到了人為惡意破壞，而此人恰恰正是自家員工——研發(fā)中心運維部核心運維人員賀某。

這位程序員于2020年2月24日被上海市寶山區(qū)公安局刑事拘留；8月26日，寶山區(qū)人民法院刑事判決書（一審）公布，判處有期徒刑六年。

并且賀某還自供是酒后因生活不如意、無力償還網(wǎng)貸等個人原因。……

程序員“刪庫”事件頻發(fā)，也給企業(yè)和個人敲響了警鐘。

對于企業(yè)來說，“數(shù)據(jù)安全大于天”，在數(shù)字化時代的當下，如何做好數(shù)據(jù)備份，如何合理地讓相關IT部門來管理數(shù)據(jù)，應當是引起企業(yè)重視的問題。

對于程序員群體，因個人情緒、生活等引發(fā)的問題，以如此極端的手段來發(fā)泄，賭上個人的未來走上犯罪道路，著實不值當。

也希望“刪庫跑路”這樣的段子，永遠只是個段子。

畢竟現(xiàn)實中每一次重演，不僅有企業(yè)和用戶受損失，也有人要面臨法律的制裁，甚至失去自由。

參考鏈接：

一審刑事判決書：
https://wenshu.court.gov.cn/website/wenshu/181107ANFZ0BXSK4/index.html?docId=20c2a1fb04404493a474aca8009ae56d

二審刑事裁定書：
https://wenshu.court.gov.cn/website/wenshu/181107ANFZ0BXSK4/index.html?docId=ca312e28689b498a8ac1aca8009ac7fc

相關討論：
https://weibo.com/1642634100/JCd2MnsDh?type=comment
https://weibo.com/5140552811/JCdjSh7gv?type=comment#_rnd1610243959635

~END~