事件回顧
2018年6月4日,下午14時35分,鏈家技術保障部人員發現,公司財務系統伺服器應用程式出現故障,無法登入。
技術人員到機房檢查,發現4臺財務系統伺服器(EBS系統)應用程式等9TB資料被惡意刪除,包括資料庫的備份資料,應用的程式目錄和歸檔資料。這裡存放著公司自成立以來,所有的財務資料,直接影響公司人員工資發放。
隨後,該公司緊急聘請相關專業公司,對資料進行恢復。
2018年6月6日,公司暫扣了5個接觸到公司財務系統的員工的電腦,韓某拒絕提供電腦名稱和密碼。韓某稱,上班期間,他使用的是自己的膝上型電腦,因此名稱、密碼屬於個人隱私,公安機關可以用自己的方法檢查電腦。
2018年6月12日,該公司共計花費18萬元,將資料恢復。
事件原因調查
國家資訊中心電子資料司法鑑定中心司法鑑定意見書證明,2018年6月4日14時至15時期間,IP地址為10.33.35.160的終端使用者遠端以root身份登入鏈家公司伺服器並通過執行rm、shred命令刪除資料檔案、擦除操作日誌等,而該IP地址於6月4日14時17分被分配給MAC地址為EA-36-33-43-78-88、主機名為Yggdrasil的裝置使用。
該IP地址為鏈家公司福道大廈3樓交換機所覆蓋網路區域,而韓某具有root許可權且於案發當日在上述IP地址的網路覆蓋區域內上班。
經司法鑑定確認,韓某電腦的主機名為Yggdrasil,與登入伺服器執行刪除、擦除命令的電腦主機名一致;韓某電腦的MAC地址雖不是EA-36-33-43-78-88,但其電腦中安裝有用於更改MAC地址的軟體WiFiSpoof,且在其電腦的相關檔案中檢索到多條與上述MAC地址相關的記錄。
綜合案發後韓某的表現,以及對具有類似許可權人員所用電腦的鑑定結論等情況,能夠確定韓某實施了刪除鏈家公司財務系統伺服器程式資料的行為。
北京市第一中級人民法院認為,韓某違反國家規定,對計算機資訊系統中儲存的資料和應用程式進行刪除,造成計算機資訊系統不能正常執行,其行為已構成破壞計算機資訊系統罪,且後果特別嚴重,依法應予懲處。
依照《中華人民共和國刑法》第二百八十六條第一款、第二款之規定,判決:被告人韓某犯破壞計算機資訊系統罪,判處有期徒刑七年。
是否為蓄意報復?
據悉,韓某於2018年2月1日入職鏈家後,負責財務系統資料庫管理,並在入職後獲得了登入管理系統的許可權。通過該許可權,可以在系統上安裝、刪除相關應用程式。
韓某稱曾給財務線、資訊線領導彙報過財務系統的安全問題,但並未得到重視,甚至與資訊線領導起過爭執。
隨後,5月韓某被調整至技術保障部,工作地點從朝陽區酒仙橋總部調整至海淀區上地福道大廈。
有人認為韓某是因為不滿領導的不重視及工作調配,才作出刪庫的舉動。事實是否是這樣呢?雖然我們無法確定韓某的具體動機,但是近些年員工刪庫事件頻發,需要我們注意,除了企業需要提高安全意識以及與員工關係的處理,個人也應明確法律的邊界線,切勿因一時衝動,隨意挑釁法律的底線。
公眾號ID:ikanxue
官方微博:看雪安全
商務合作:wsc@kanxue.com