本文來(lái)源：量子位

本文作者：金磊、蕭簫

40歲鏈家程序員，曾向領(lǐng)導(dǎo)提出系統(tǒng)安全問(wèn)題被無(wú)視，還被調(diào)整了工作，怒而刪除自家9TB數(shù)據(jù)庫(kù)。

段子一樣的“刪庫(kù)”事件不僅真實(shí)上演，最近還迎來(lái)了法院的最終判決。

而為恢復(fù)數(shù)據(jù)及系統(tǒng)，鏈家前后共花費(fèi)18萬(wàn)元。

近日，北京市海淀區(qū)人民法院最終判決：被告人犯破壞計(jì)算機(jī)信息系統(tǒng)罪，判處有期徒刑七年。

這起“刪庫(kù)”事件，是怎么發(fā)生的？

2020年11月4日，判決書首次披露了這起事件的完整過(guò)程。

事情是這么開(kāi)始的。

2018年2月1日，被告人韓某入職鏈家，負(fù)責(zé)財(cái)務(wù)系統(tǒng)數(shù)據(jù)庫(kù)管理。

按照規(guī)定，韓某的權(quán)限，只能操作公司數(shù)據(jù)庫(kù)。但韓某稱，公司管理很亂，入職后就給了他登錄管理系統(tǒng)的權(quán)限。

這個(gè)權(quán)限，可以在系統(tǒng)上安裝、刪除相關(guān)應(yīng)用程序。

韓某稱，自己在北京酒仙橋鏈家總部辦公時(shí)，曾經(jīng)給領(lǐng)導(dǎo)發(fā)過(guò)郵件，稱這樣的系統(tǒng)是不安全的。

另一個(gè)數(shù)據(jù)庫(kù)管理員張某證實(shí)，他們?cè)蜇?cái)務(wù)線、信息線領(lǐng)導(dǎo)匯報(bào)過(guò)財(cái)務(wù)系統(tǒng)的安全問(wèn)題，但并未得到重視，甚至與信息線領(lǐng)導(dǎo)起過(guò)爭(zhēng)執(zhí)。

2018年5月，韓某的辦公地點(diǎn)，從北京酒仙橋，調(diào)整到了上地六街的數(shù)字傳媒大廈八層。

這次的“刪庫(kù)”事件，就發(fā)生在上地六街。

2018年6月4日，經(jīng)公司監(jiān)控錄像，韓某于11點(diǎn)左右到工位上上班，18時(shí)左右離開(kāi)公司。

當(dāng)日下午14:35分，技術(shù)保障部人員發(fā)現(xiàn)，公司財(cái)務(wù)系統(tǒng)服務(wù)器應(yīng)用程序出現(xiàn)故障，無(wú)法登錄。

技術(shù)人員到機(jī)房檢查，發(fā)現(xiàn)財(cái)務(wù)系統(tǒng)服務(wù)器（EBS系統(tǒng)）應(yīng)用程序、及9TB數(shù)據(jù)，被惡意刪除。這里存放著公司自成立以來(lái)，所有的財(cái)務(wù)數(shù)據(jù)，直接影響公司人員工資發(fā)放。

公司緊急找杭州惜飛信息技術(shù)有限公司、和小四科技（北京）有限公司，對(duì)數(shù)據(jù)進(jìn)行恢復(fù)。

2018年6月6日，公司暫扣了5個(gè)接觸到公司財(cái)務(wù)系統(tǒng)的員工的電腦，韓某拒絕提供電腦名稱和密碼。

韓某稱，上班期間，他使用的是自己的筆記本電腦，因此名稱、密碼屬于個(gè)人隱私，公安機(jī)關(guān)可以用自己的方法檢查電腦。

2018年6月12日，數(shù)據(jù)恢復(fù)，鏈家共計(jì)花費(fèi)18萬(wàn)元。

通過(guò)日志恢復(fù)與關(guān)聯(lián)分析，可以確定IP為10.33.35.160的終端用戶，在2018年6月4日14時(shí)至15時(shí)期間，遠(yuǎn)程以root身份登錄至該服務(wù)器，通過(guò)執(zhí)行rm、shred命令刪除了服務(wù)器中的數(shù)據(jù)文件，并擦除了當(dāng)前用戶的所有操作日志。

2018年7月31日，韓某被公安機(jī)關(guān)抓獲歸案。

調(diào)查發(fā)現(xiàn)，導(dǎo)出數(shù)據(jù)來(lái)源IP地址10.33.35.160在2018年6月4日期間的事件日志，發(fā)現(xiàn)DHCP服務(wù)器于下午14:17分許分配給客戶端ID（設(shè)備MAC地址） EA-36-33-43-78-88，設(shè)備主機(jī)名Yggdrasil。

對(duì)被告人韓某的蘋果電腦進(jìn)行提取后，調(diào)查人員發(fā)現(xiàn)，該電腦Wi-Fi的Mac地址為28-CF-E9-1C-48-13；該電腦中安裝有WiFiSpoof軟件；該電腦計(jì)算機(jī)系統(tǒng)為MacOSX10.13.5，主機(jī)名為Yggdrasil。

△WiFiSpoof界面，可用于更改MAC地址

在該電腦中的$InodeTable文件中檢索到與Mac地址28：CF：E9：1C：48：13相關(guān)記錄92條，檢索到與Mac地址EA：36：33：43：78：88相關(guān)記錄4條；該電腦中的終端記錄中包含shred與rm命令，該命令為本地執(zhí)行命令。

2020年11月4日，依照《中華人民共和國(guó)刑法》第二百八十六條第一款、第二款之規(guī)定，北京市海淀區(qū)人民法院判決如下：

被告人韓某犯破壞計(jì)算機(jī)信息系統(tǒng)罪，判處有期徒刑七年。

判決下達(dá)后，被告人韓某不服，向北京市第一中級(jí)人民法院提起上訴。

對(duì)于這起上訴，辯護(hù)人的主要辯護(hù)意見(jiàn)為：

本案事實(shí)不清、證據(jù)不足，不能排除合理懷疑，應(yīng)疑罪從無(wú)。電子數(shù)據(jù)鑒定意見(jiàn)的起始基準(zhǔn)時(shí)間晚于案發(fā)一個(gè)多月，不能確定在此期間電子數(shù)據(jù)有無(wú)修改?，F(xiàn)有證據(jù)不能證實(shí)韓某實(shí)施刪除行為的準(zhǔn)確時(shí)間以及韓某實(shí)施了使用命令攻擊刪除行為。

不能排除系有漏洞和程序問(wèn)題導(dǎo)致外介質(zhì)因素入侵。是否造成系統(tǒng)全部癱瘓的事實(shí)不清、證據(jù)不足，刪除數(shù)據(jù)大小不明確。18萬(wàn)元損失的認(rèn)定證據(jù)不足，沒(méi)有第三方機(jī)構(gòu)評(píng)估、鑒定等證據(jù)。韓某具有主觀惡性不大，未造成嚴(yán)重社會(huì)影響等從輕情節(jié)。

但在二審審理期間，上訴人韓某及辯護(hù)人均未向法庭提供新的證據(jù)。

經(jīng)過(guò)調(diào)查，視頻服務(wù)器和涉案四臺(tái)服務(wù)器，均未與標(biāo)準(zhǔn)時(shí)間校準(zhǔn)，無(wú)法判斷監(jiān)控時(shí)間與服務(wù)器時(shí)間的時(shí)間差，無(wú)法以視頻時(shí)間和服務(wù)器時(shí)間，排除韓某作案的可能。

2020年12月29日，北京市第一中級(jí)人民法院駁回上訴，維持原判。

“刪庫(kù)”事件細(xì)節(jié)，引發(fā)熱議

這起事件中的被害公司，是鏈家網(wǎng)。

鏈家網(wǎng)，前身叫做“鏈家在線”，成立于2010年，并于2014年正式更名。

至于其主要負(fù)責(zé)的業(yè)務(wù)，想必大家都已經(jīng)比較熟知，就是房產(chǎn)服務(wù)平臺(tái)。

根據(jù)公開(kāi)資料顯示，主要業(yè)務(wù)包括集房源信息搜索、產(chǎn)品研發(fā)、大數(shù)據(jù)處理、服務(wù)標(biāo)準(zhǔn)建立。

而財(cái)務(wù)數(shù)據(jù)，對(duì)于一家公司的重要性可想而知，對(duì)于鏈家如此規(guī)模的公司，出了這么一檔子事，加之裁定書所曝光的細(xì)節(jié)內(nèi)容，不禁引起了網(wǎng)友們的熱議。

首先是對(duì)于判決書中所提到的“數(shù)據(jù)恢復(fù)”內(nèi)容，也就是“鏈家公司為恢復(fù)數(shù)據(jù)及重新構(gòu)建財(cái)務(wù)系統(tǒng)共計(jì)花費(fèi)人民幣18萬(wàn)元”這句話。

有網(wǎng)友認(rèn)為，根據(jù)如此描述來(lái)看，公司財(cái)務(wù)數(shù)據(jù)庫(kù)大概率沒(méi)有異地備份。

如果有備份的話，恢復(fù)系統(tǒng)只是“小時(shí)級(jí)”的體力活，不大可能需要18萬(wàn)。

這么看來(lái)，這家公司的IT管理太可怕了……

也有網(wǎng)友對(duì)判決的“18萬(wàn)”做這樣的類比：

熱議的第二個(gè)點(diǎn)，便是對(duì)于韓某的“操作手法”。

也就是裁定書中所提到的“通過(guò)執(zhí)行rm、shred命令刪除數(shù)據(jù)文件、擦除操作日志等，刪除了財(cái)務(wù)數(shù)據(jù)及相關(guān)應(yīng)用程序，致使公司財(cái)務(wù)系統(tǒng)無(wú)法登錄”。

網(wǎng)友直呼這是“程序員犯低級(jí)錯(cuò)誤”。

也有認(rèn)為“數(shù)據(jù)管理員技術(shù)太糙”的。

更技術(shù)流一些的網(wǎng)友，拋出了自己的困惑：

連MAC都改了，不知道改IP和主機(jī)名？

一般是先改IP，再改主機(jī)名，最后改MAC。

但拋去本案件細(xì)節(jié)熱議點(diǎn)，這起“刪庫(kù)”事件也再次將數(shù)據(jù)安全問(wèn)題引入大眾的視線。

“刪庫(kù)”事件頻發(fā)，數(shù)據(jù)安全大于天

對(duì)于鏈家這起事件，網(wǎng)友認(rèn)為非常的“可悲”，也道出了自己的困惑：

怎么能不定期備份數(shù)據(jù)呢？

然而，類似的事情還真的是時(shí)有發(fā)生。

例如去年微盟的事件，程序員憑一己之力，便讓公司市值蒸發(fā)超10億，更殃及了300萬(wàn)的商鋪，使其癱瘓。

從2020年2月23日晚起，微盟服務(wù)器的崩潰時(shí)間便長(zhǎng)達(dá)53-125小時(shí)。

而此次事件，是微盟遭到了人為惡意破壞，而此人恰恰正是自家員工——研發(fā)中心運(yùn)維部核心運(yùn)維人員賀某。

這位程序員于2020年2月24日被上海市寶山區(qū)公安局刑事拘留；8月26日，寶山區(qū)人民法院刑事判決書（一審）公布，判處有期徒刑六年。

并且賀某還自供是酒后因生活不如意、無(wú)力償還網(wǎng)貸等個(gè)人原因。……

程序員“刪庫(kù)”事件頻發(fā)，也給企業(yè)和個(gè)人敲響了警鐘。

對(duì)于企業(yè)來(lái)說(shuō)，“數(shù)據(jù)安全大于天”，在數(shù)字化時(shí)代的當(dāng)下，如何做好數(shù)據(jù)備份，如何合理地讓相關(guān)IT部門來(lái)管理數(shù)據(jù)，應(yīng)當(dāng)是引起企業(yè)重視的問(wèn)題。

對(duì)于程序員群體，因個(gè)人情緒、生活等引發(fā)的問(wèn)題，以如此極端的手段來(lái)發(fā)泄，賭上個(gè)人的未來(lái)走上犯罪道路，著實(shí)不值當(dāng)。

也希望“刪庫(kù)跑路”這樣的段子，永遠(yuǎn)只是個(gè)段子。

畢竟現(xiàn)實(shí)中每一次重演，不僅有企業(yè)和用戶受損失，也有人要面臨法律的制裁，甚至失去自由。

參考鏈接：

一審刑事判決書：
https://wenshu.court.gov.cn/website/wenshu/181107ANFZ0BXSK4/index.html?docId=20c2a1fb04404493a474aca8009ae56d

二審刑事裁定書：
https://wenshu.court.gov.cn/website/wenshu/181107ANFZ0BXSK4/index.html?docId=ca312e28689b498a8ac1aca8009ac7fc

相關(guān)討論：
https://weibo.com/1642634100/JCd2MnsDh?type=comment
https://weibo.com/5140552811/JCdjSh7gv?type=comment#_rnd1610243959635

~END~