鏈家網(wǎng) DBA 惡意刪除 9TB 數(shù)據(jù):被判 7 年
2021年01月09日
2018年6月4日14時許��,韓某在位于本市海淀區(qū)上地三街福道大廈三層的鏈家網(wǎng)(北京)科技有限公司(以下簡稱鏈家公司)�,利用其擔任鏈家公司數(shù)據(jù)庫管理員并掌握公司財務(wù)系統(tǒng)root權(quán)限的便利,登錄公司財務(wù)系統(tǒng)服務(wù)器刪除了財務(wù)數(shù)據(jù)及相關(guān)應(yīng)用程序�����,致使公司財務(wù)系統(tǒng)無法登錄���。鏈家公司為恢復數(shù)據(jù)及重新構(gòu)建財務(wù)系統(tǒng)共計花費人民幣18萬元����。
2018年7月31日,韓某被公安機關(guān)抓獲歸案�����。
2018年6月4日14時35分����,公司財務(wù)人員上報公司財務(wù)總賬系統(tǒng)(EBS系統(tǒng))出現(xiàn)故障,無法登錄��。后公司技術(shù)保障部門人員開始排查����,現(xiàn)象是服務(wù)器登錄失敗,提示驗證失敗�����。15時30分左右�����,經(jīng)過在服務(wù)器的管理卡登錄查看服務(wù)器狀況�����,發(fā)現(xiàn)有人登錄系統(tǒng)執(zhí)行了刪除命令。遠程查詢公司專門用于EBS系統(tǒng)的2臺數(shù)據(jù)庫服務(wù)器(IP地址分別為10.10.26.33和10.10.26.34)和2臺應(yīng)用服務(wù)器(IP地址分別為10.200.28.96和10.200.28.97)的狀況��,確認4臺服務(wù)器被刪除的財務(wù)系統(tǒng)數(shù)據(jù)總大小為9TB�����,包括數(shù)據(jù)庫的備份數(shù)據(jù)�,應(yīng)用的程序目錄和歸檔數(shù)據(jù)。因上述數(shù)據(jù)被刪除導致EBS系統(tǒng)無法登錄和服務(wù)不可用�。經(jīng)初步判斷,系被人惡意刪除�。當天正是公司財務(wù)月結(jié)的關(guān)鍵時期�����,如果EBS系統(tǒng)不可用將直接導致當月無法月結(jié)�����,如財務(wù)系統(tǒng)數(shù)據(jù)被刪除無法恢復將危及公司的正常運營�,令公司蒙受損失和風險。
因數(shù)據(jù)恢復屬于專業(yè)性很強的技術(shù)類工作���,公司并無此類數(shù)據(jù)恢復的人員和經(jīng)驗����,故緊急聘請杭州惜飛信息技術(shù)有限公司來完成財務(wù)數(shù)據(jù)恢復工作。當天杭州惜飛公司派工程師前往現(xiàn)場進行工作�。對被破壞的服務(wù)器10.10.26.33和10.10.26.34組成的OracleRAC集群執(zhí)行數(shù)據(jù)恢復工作,共恢復數(shù)據(jù)文件9T���。杭州惜飛信息技術(shù)有限公司收取公司數(shù)據(jù)恢復服務(wù)費用10萬元�����。
因EBS系統(tǒng)軟件和應(yīng)用程序均已被刪除�����,導致服務(wù)無法正常使用���,需要重新搭建EBS系統(tǒng),使其能正常提供服務(wù)�,公司緊急聘請小四科技(北京)有限公司來完成EBS系統(tǒng)重建和恢復工作。當天小四科技架構(gòu)師朱龍春會同公司同事到達光環(huán)新網(wǎng)IDC中心進行工作?,F(xiàn)場發(fā)現(xiàn)EBS財務(wù)系統(tǒng)因文件被刪除不能正常提供業(yè)務(wù)服務(wù)和賬條處理操作。后經(jīng)小四科技同事的連續(xù)工作�����,在新的服務(wù)器重新搭建一套ORACLEEBS系統(tǒng)并安裝相關(guān)專業(yè)軟件。EBS財務(wù)系統(tǒng)直到6月12日才全部恢復到事故前的全部功能�����。小四科技(北京)有限公司收取公司系統(tǒng)恢復服務(wù)費用8萬元�����。
證人周某(鏈家公司職業(yè)道德建設(shè)中心總監(jiān))于2018年7月12日證言:
2018年6月4日14時35分許����,公司技術(shù)保障部楊某發(fā)現(xiàn)公司財務(wù)系統(tǒng)服務(wù)器應(yīng)用程序出現(xiàn)故障無法登錄,就派技術(shù)人員到機房進行檢查�����,發(fā)現(xiàn)財務(wù)系統(tǒng)服務(wù)器(EBS系統(tǒng))應(yīng)用程序及9TB的數(shù)據(jù)被惡意刪除�����,后公司找杭州惜飛信息技術(shù)有限公司和小四科技(北京)有限公司對財務(wù)系統(tǒng)服務(wù)器應(yīng)用程序及數(shù)據(jù)進行了重建和恢復���,直到6月12日才全部完成恢復,共計花費18萬元。因有權(quán)限進入公司財務(wù)系統(tǒng)的只有技術(shù)保障部五個人����,公司在內(nèi)部進行了初步排查,收集了這五個人的筆記本電腦���,其中四人主動上交了個人筆記本電腦及密碼��,但韓某拒不交代自己的筆記本電腦密碼����,也對破壞的事情拒不承認����,韓某有嫌疑,其代表公司來報案���。被破壞的服務(wù)器是公司專門用于EBS系統(tǒng)的2臺數(shù)據(jù)庫服務(wù)器和2臺應(yīng)用服務(wù)器��,2臺數(shù)據(jù)庫服務(wù)器的IP地址分別為10.90.6.30和14.17.23.34�����,2臺應(yīng)用服務(wù)器的IP分別為10.200.299.96和10.265.28.97�����。公司財務(wù)系統(tǒng)存放著公司成立以來所有的財務(wù)數(shù)據(jù)�����,影響到公司人員的工資發(fā)放等�,對公司整個運行有非常重要的意義。
其于2018年7月31日證言��,證實公司在2018年6月6日17時許暫扣了有權(quán)限接觸到公司財務(wù)系統(tǒng)的五個人的筆記本電腦�,今天民警抓獲韓某后����,其把暫扣韓某的電腦送至派出所。韓某2018年2月到公司負責財務(wù)系統(tǒng)維護�����,5月被調(diào)整至技術(shù)保障部,工作地點從朝陽區(qū)酒仙橋總部調(diào)整至海淀區(qū)上地福道大廈�,韓某對組織調(diào)整有意見,覺得自己不受重視����,調(diào)整之后消極怠工��,經(jīng)常遲到早退�,也有曠工現(xiàn)象�。經(jīng)查看公司監(jiān)控錄像,韓某于2018年6月4日11點左右到福道大廈三層西側(cè)自己的工作區(qū)域上班,當天18時左右離開公司�����。
其于2018年9月14日證言���,證實公司內(nèi)韓某�、張某����、高某、薛某���、楊某有通過公司內(nèi)網(wǎng)使用root權(quán)限直接登錄服務(wù)器的權(quán)限��,公司當時的服務(wù)商小四科技也有權(quán)限登錄��,但需要從外網(wǎng)使用公司提供的賬號通過專用通道從堡壘機跳轉(zhuǎn)至服務(wù)器進行維護工作���,堡壘機上會記載所有的操作,且小四科技無法刪除堡壘機上記載的所有操作�����。
其于2019年1月15日證言����,證實許某沒有財務(wù)系統(tǒng)root登錄權(quán)限,他只能通過堡壘機登錄財務(wù)系統(tǒng)��。每個員工在入職時會獲得一個唯一且固定的郵箱��,郵箱的前綴是每個員工的賬號���,網(wǎng)絡(luò)認證�、收發(fā)郵件時都需要,這是一個非常私密的賬號��,公司要求員工在每個季度強制更改密碼����,韓某的唯一員工賬號是×××。
韓某于2018年7月31日供述���,述稱前一段時間����,其聽說公司系統(tǒng)壞了����,服務(wù)器被刪����,當天其用其權(quán)限嘗試登錄系統(tǒng)���,但登不上去���。當時公司找了第三方可以登錄系統(tǒng)的人。幾天后鏈家網(wǎng)道德委員會工作人員把其筆記本電腦封存了�����。其于2018年2月1日入職���,負責財務(wù)系統(tǒng)數(shù)據(jù)庫管理���,開始屬于財務(wù)線,在信息化線待了幾天到了技術(shù)線��,后搬到上地六街數(shù)字傳媒大廈八層���。按規(guī)定其只能有數(shù)據(jù)庫操作權(quán)限�����,但公司管理很亂���,其入職后公司就給了其登錄管理系統(tǒng)權(quán)限,可以在系統(tǒng)上安裝和刪除相關(guān)的應(yīng)用程序���。公司張某�����、楊某�、高某����、一女的、小四科技供應(yīng)商公司的人�、徐章毅、漢得公司和元年公司的人有這個權(quán)限����,還有一個有權(quán)限的公司是之前和鏈家合作過的公司。其上班期間使用的是自己的蘋果筆記本電腦,其不提供電腦名稱和密碼����,這是其個人隱私,公安機關(guān)可以用自己的方法檢查其電腦。
其于2018年8月5日供述����,述稱2018年6月4日,其做系統(tǒng)巡檢時被登錄的財務(wù)EBS系統(tǒng)踢出來了�����,系統(tǒng)鏈接斷了�,再登錄也登錄不上去了�����。其沒有刪除過公司財務(wù)系統(tǒng)數(shù)據(jù)�����。其電腦密碼一個月不操作就會變換一個隨機密碼,現(xiàn)應(yīng)已自動換密碼����,只能聯(lián)網(wǎng)后擦除電腦數(shù)據(jù)變成新電腦使用。以前在酒仙橋鏈家公司總部上班時碰到過類似被系統(tǒng)踢出的情況��,其給領(lǐng)導發(fā)過郵件����,這個系統(tǒng)是不安全的����。
北京市海淀區(qū)人民法院認為,韓某違反國家規(guī)定�����,對計算機信息系統(tǒng)中存儲的數(shù)據(jù)和應(yīng)用程序進行刪除���,造成計算機信息系統(tǒng)不能正常運行�,后果特別嚴重�,其行為已構(gòu)成破壞計算機信息系統(tǒng)罪,依法應(yīng)予懲處��。依照《中華人民共和國刑法》第二百八十六條第一款、第二款之規(guī)定�,判決:韓某犯破壞計算機信息系統(tǒng)罪,判處有期徒刑七年�。
韓某對此提出上訴,主要理由為:
監(jiān)控錄像等證據(jù)證明其沒有實施犯罪��。其不是可以進入被害單位內(nèi)網(wǎng)且有Yggdrasil主機名的唯一用戶����。證明其電腦中存在sherd及rm命令的證據(jù)之間存在矛盾。在其電腦中檢索到的關(guān)于Mac地址EA:36:33:43:78:88的記錄與其無關(guān)�,有可能是該MAC地址的設(shè)備訪問其電腦留下的。被害單位刻意制造維修費用�,且沒有證據(jù)證明被害單位損失,故其不認可被害人的損失數(shù)額�。
經(jīng)查,國家信息中心電子數(shù)據(jù)司法鑒定中心司法鑒定意見書證明:
2018年6月4日14時至15時期間����,IP地址為10.33.35.160的終端用戶遠程以root身份登錄鏈家公司服務(wù)器并通過執(zhí)行rm、shred命令刪除數(shù)據(jù)文件��、擦除操作日志等�,而該IP地址于6月4日14時17分被分配給MAC地址為EA-36-33-43-78-88、主機名為Yggdrasil的設(shè)備使用�。該IP地址為鏈家公司福道大廈3樓交換機所覆蓋網(wǎng)絡(luò)區(qū)域���,而韓某具有root權(quán)限且于案發(fā)當日在上述IP地址的網(wǎng)絡(luò)覆蓋區(qū)域內(nèi)上班。經(jīng)司法鑒定確認�,韓某電腦的主機名為Yggdrasil,與登錄服務(wù)器執(zhí)行刪除�、擦除命令的電腦主機名一致;韓某電腦的MAC地址雖不是EA-36-33-43-78-88�����,但其電腦中安裝有用于更改MAC地址的軟件WiFiSpoof����,且在其電腦的相關(guān)文件中檢索到多條與上述MAC地址相關(guān)的記錄���。綜合案發(fā)后韓冰的表現(xiàn)���,以及對具有類似權(quán)限人員所用電腦的鑒定結(jié)論等情況,能夠確定韓某實施了刪除鏈家公司財務(wù)系統(tǒng)服務(wù)器程序數(shù)據(jù)的行為�����。
對于韓某所提監(jiān)控錄像證明其沒有實施犯罪的上訴理由��,經(jīng)查:視頻服務(wù)器和涉案四臺服務(wù)器均未與標準時間校準,無法判斷監(jiān)控時間與服務(wù)器時間的時間差��,無法以視頻時間和服務(wù)器時間排除韓某作案的可能��。
北京市第一中級人民法院認為��,上訴人韓某違反國家規(guī)定����,對計算機信息系統(tǒng)中存儲的數(shù)據(jù)和應(yīng)用程序進行刪除,造成計算機信息系統(tǒng)不能正常運行�����,其行為已構(gòu)成破壞計算機信息系統(tǒng)罪�����,且后果特別嚴重�,依法應(yīng)予懲處。一審法院根據(jù)韓某犯罪的事實����、犯罪的性質(zhì)、情節(jié)及對于社會的危害程度所作出的判決����,事實清楚���,證據(jù)確實、充分����,定罪及適用法律正確,量刑適當���,審判程序合法�,應(yīng)予維持�����。據(jù)此�,依照《中華人民共和國刑事訴訟法》第二百三十六條第一款第(一)項之規(guī)定�,裁定如下:駁回上訴,維持原判�。
本次案例給我們的經(jīng)驗是人員的安全意識和相關(guān)防護措施缺一不可,做好萬全的準備才能最大程度的減少安全隱患與損失���。
江蘇國駿-打造安全可信的網(wǎng)絡(luò)世界
為IT提升價值
http://hbshty.cn/
免費咨詢熱線:400-6776-989
