华为员工利用系统Bug越权获取机密数据,还透露给了第三方!
在数字化浪潮中,企业、员工的管理工作也朝着智能化、云化等方向发展。对于上班族来说,入职第一天基本基本穿梭在各个权限的申请与开放之中。
由于各个部门的分工不同,所以每个岗位都会配有相应级别的系统权限,不同员工的系统权限也有所差异。对于不属于自己岗位职责范围内的事,员工通常没有参与权和知情权,这就要求企业对员工的系统权限进行严格管理。
2022年2月,中国裁决文书网发布的一则刑事宣判便与此相关:在华为任职的易某在调离岗位7年后,还没有将自己之前拥有的相关系统权限清除。不仅如此,他还在此期间多次利用权限查看系统数据,甚至利用发现的漏洞绕过权限控制,多次向第三方公司提供系统数据,以此获利。
那具体案件经过是怎样的呢?笔者翻阅了此案的裁定书,带着大家一起看一下这起案件。
多次通过公司邮箱发送数据给竞标客户
据裁定书显示,易某于2006年12月至2018年3月期间在华为技术有限公司(以下简称华为公司)任职。因工作需要,易某拥有登录华为公司ERP系统的权限,可以查看工作范围内相关数据信息。
图源:截图自中国裁判文书网
华为公司禁止员工私自在ERP系统查看、下载非工作范围内的电子数据信息。
2010年12月,易某从华为公司线缆物控部调任后,未按华为公司的要求将ERP账户线缆类编码物料价格的查询权限清理,至2017年底,易某违反规定多次通过越权查询、借用同事账号登录的方式在ERP系统内获取线缆物料的价格信息。
2017年以后,易某发现ERP系统中的POL采购小程序存在漏洞,能通过特定操作绕过权限控制查看系统数据,便以此方式获取线缆物料的价格信息。
按照正常的软件使用流程,员工发现系统漏洞后本应该向上反馈,但易某却动起了歪心思。
易某将非法获取的价格数据以发短信、打电话、发电子邮件的方式告知深圳市金信诺高新技术股份有限公司(华为技术有限公司的供应商,以下简称金信诺公司),从而帮助金信诺公司在华为公司的招标项目中提高中标率。
经查,易某在2016年12月27日至2018年2月28日期间,多次通过邮箱“yihxxx@huawei.com”将华为公司多个供应商共1183个(剔除重复部分共918个)线缆类编码物料的采购价格发送给金信诺公司。
在2012年至2017年6月30日期间,易某收受金信诺公司购物卡共计7000元、篮球鞋5双(价值共计人民币16437.6元)。
另查明,案发后,华为公司出具谅解书,表示对被告人易某侵害华为公司的行为予以谅解。
易某行为构成非法获取计算机信息系统数据罪
对于易某的行为,一审法院原判认为其违反国家规定,侵入国家事务、国防建设、尖端科学技术领域以外的计算机信息系统或采用其他技术手段,获取计算机信息系统中存储、处理或者传输的数据,情节严重,其行为已构成非法获取计算机信息系统数据罪。公诉机关指控的罪名成立。易某归案后如实供述,当庭认罪认罚,取得被害单位的谅解,系初犯,原审予以从轻处罚。
依照《中华人民共和国刑法》第二百八十五条第二款、第五十二条、第五十三条第一款、第六十四条、第六十七条第三款之规定,判决:
一、易某犯非法获取计算机信息系统数据罪,判处有期徒刑一年,并处罚金人民币二万元;
二、继续向易某追缴违法所得共计人民币23437.6元,依法予以没收,上缴国库。
不服一审判决,易某提起上诉
对于一审判决,易某提起上诉,请求撤销原审判决,并依法改判为免于刑事处罚。
主要理由为:
1.其行为是否构成非法获取计算机信息系统罪存有争议,应疑罪从无,判处其免予刑事处罚。首先其主观上没有犯罪故意;其次其违规获取的仅是计算机系统中储存的设备材料历史价格的电子信息,并不是本罪法条所规定的系统数据。
2.其并未采用技术手段非法侵入华为公司的信息系统,其实质为利用工作便利、权限及公司小程序的漏洞获取相关信息,且并未给华为公司造成实际损失。
3.其系初犯、偶犯,犯罪情节较为轻微,未造成恶劣的社会影响或重大损失。
4.华为公司出具了谅解书,依法应当对其从轻处理,但原审未考虑该重要情节。
其辩护人的意见为:
1.本案上诉人行为实则更符合侵犯商业秘密罪的构成,但基于其行为轻微,尚不足以构成侵犯商业秘密罪,疑罪从无,判处免于刑事处罚更适宜。
2.上诉人并未采用技术手段非法侵入华为公司信息系统,且并未给华为公司造成实际的损失。
3.上诉人系初犯、偶犯,行为情节比较轻微,其对错误行为已进行深刻反省。
4.华为公司混乱粗放的管理制度,以及ERP系统中POL采购小程序的缺陷,使得上诉人犯下错误,也负有一定责任。
5.华为公司已出具对上诉人的谅解书。
公司谅解并不等于无罪
对于易某的上诉,二审法院做出了终审裁定。
关于易某的行为是否构成非法获取计算机信息系统数据罪的问题,易某本人认为存有争议,其辩护人认为易某的行为更符合侵犯商业秘密罪的构成。
经查,根据最高人民检察院公布的第九批指导性案例(检例第36号-卫梦龙、龚旭、薛东东非法获取计算机信息系统数据案),非法获取计算机信息系统数据罪中的“侵入”,是指违背被害人意愿、非法进入计算机信息系统的行为,其表现形式既包括采用技术手段破坏系统防护进入计算机信息系统,也包括未取得被害人授权擅自进入计算机系统,还包括超出被害人授权范围进入计算机信息系统。
易某从华为公司线缆物控部调任后,按照公司规定,其已不具有在ERP系统查看相关电子数据信息的权利,其超出授权范围登陆该系统,并利用系统中POL采购小程序存在的漏洞,获取线缆物料价格信息的行为,属于侵入计算机信息系统的行为。易某非法获取计算机信息系统数据,违法所得超过人民币5000元,属于情节严重,已经构成非法获取计算机信息系统数据罪。其本人及辩护人的相关意见不成立,二审法院不予采纳。
二审法院认为,易某在一审阶段认罪认罚,且华为公司出具了谅解书,一审判决已对其从轻处罚,其上诉请求再予以从轻处罚缺乏事实和法律依据,法院不予采纳。
综上,原审判决认定事实清楚,证据确实充分,定罪准确,量刑适当,审判程序合法。依照《中华人民共和国刑事诉讼法》第二百三十六条第一款第(一)项之规定,裁定如下:
驳回上诉,维持原判。
利用职务之便的犯罪屡见不鲜
公司赋予员工权限的本意是为了方便办公,但很多人却利用职务之便为自己“谋福利”。在过去一年中,诸如此类的案件就时有发生:
去年2月,百度一研发工程师利用职务之便,超越权限,通过篡改数据、编写脚本等方式,违规通过了735个媒体网站账号加入“百度联盟”的申请,收受他人给予共23万余元,致使公司374万元广告分成遭到损害。最终,陈某以犯破坏计算机信息系统罪,被判处有期徒刑一年九个月,并没收所有违法所得。
今年3月,苹果公司前员工Dhirendra Prasad被指控在职期间利用职务之便,在多项采购计划中存在欺瞒行为,如收取回扣、盗窃设备和洗钱等,让苹果损失超1000万美元。根据美国的法律,Dhirendra Prasad将面临最高20年的刑期。
在这些利用公司权限和职务之便满足一己私利的案件中,当事人最后都免不了牢狱之灾。这也算是给公司和员工提了个醒:企业在赋予员工权限时也要加强监管,避免出现越界、收回不及时等情况;员工在拥有相关权限时也要自我约束,为了眼前的利益而毁了自己的人生实在是得不偿失!
参考链接:
https://wenshu.court.gov.cn/website/wenshu/181107ANFZ0BXSK4/index.html
《新程序员001-003》全面上市,对话世界级大师,报道中国IT行业创新创造!