查看原文
其他

链家网 DBA 恶意删除 9TB 数据:被判 7 年

云头条 2021-05-01
韩某,男,40岁(1980年11月25日出生),汉族,出生地北京市,大学文化,案发前系链家网(北京)科技有限公司数据库管理员。因涉嫌犯破坏计算机信息系统罪,于2018年7月31日被羁押,同年8月15日被逮捕。现羁押于北京市海淀区看守所。

2018年6月4日14时许,韩某在位于本市海淀区上地三街福道大厦三层的链家网(北京)科技有限公司(以下简称链家公司),利用其担任链家公司数据库管理员并掌握公司财务系统root权限的便利,登录公司财务系统服务器删除了财务数据及相关应用程序,致使公司财务系统无法登录。链家公司为恢复数据及重新构建财务系统共计花费人民币18万元。

2018年7月31日,韩某被公安机关抓获归案。

链家公司情况说明:


2018年6月4日14时35分,公司财务人员上报公司财务总账系统(EBS系统)出现故障,无法登录。后公司技术保障部门人员开始排查,现象是服务器登录失败,提示验证失败。15时30分左右,经过在服务器的管理卡登录查看服务器状况,发现有人登录系统执行了删除命令。远程查询公司专门用于EBS系统的2台数据库服务器(IP地址分别为10.10.26.33和10.10.26.34)和2台应用服务器(IP地址分别为10.200.28.96和10.200.28.97)的状况,确认4台服务器被删除的财务系统数据总大小为9TB,包括数据库的备份数据,应用的程序目录和归档数据。因上述数据被删除导致EBS系统无法登录和服务不可用。经初步判断,系被人恶意删除。当天正是公司财务月结的关键时期,如果EBS系统不可用将直接导致当月无法月结,如财务系统数据被删除无法恢复将危及公司的正常运营,令公司蒙受损失和风险。

因数据恢复属于专业性很强的技术类工作,公司并无此类数据恢复的人员和经验,故紧急聘请杭州惜飞信息技术有限公司来完成财务数据恢复工作。当天杭州惜飞公司派工程师前往现场进行工作。对被破坏的服务器10.10.26.33和10.10.26.34组成的OracleRAC集群执行数据恢复工作,共恢复数据文件9T。杭州惜飞信息技术有限公司收取公司数据恢复服务费用10万元。

因EBS系统软件和应用程序均已被删除,导致服务无法正常使用,需要重新搭建EBS系统,使其能正常提供服务,公司紧急聘请小四科技(北京)有限公司来完成EBS系统重建和恢复工作。当天小四科技架构师朱龙春会同公司同事到达光环新网IDC中心进行工作。现场发现EBS财务系统因文件被删除不能正常提供业务服务和账条处理操作。后经小四科技同事的连续工作,在新的服务器重新搭建一套ORACLEEBS系统并安装相关专业软件。EBS财务系统直到6月12日才全部恢复到事故前的全部功能。小四科技(北京)有限公司收取公司系统恢复服务费用8万元。

证人周某(链家公司职业道德建设中心总监)于2018年7月12日证言:

2018年6月4日14时35分许,公司技术保障部杨某发现公司财务系统服务器应用程序出现故障无法登录,就派技术人员到机房进行检查,发现财务系统服务器(EBS系统)应用程序及9TB的数据被恶意删除,后公司找杭州惜飞信息技术有限公司和小四科技(北京)有限公司对财务系统服务器应用程序及数据进行了重建和恢复,直到6月12日才全部完成恢复,共计花费18万元。因有权限进入公司财务系统的只有技术保障部五个人,公司在内部进行了初步排查,收集了这五个人的笔记本电脑,其中四人主动上交了个人笔记本电脑及密码,但韩某拒不交代自己的笔记本电脑密码,也对破坏的事情拒不承认,韩某有嫌疑,其代表公司来报案。被破坏的服务器是公司专门用于EBS系统的2台数据库服务器和2台应用服务器,2台数据库服务器的IP地址分别为10.90.6.30和14.17.23.34,2台应用服务器的IP分别为10.200.299.96和10.265.28.97。公司财务系统存放着公司成立以来所有的财务数据,影响到公司人员的工资发放等,对公司整个运行有非常重要的意义。

其于2018年7月31日证言,证实公司在2018年6月6日17时许暂扣了有权限接触到公司财务系统的五个人的笔记本电脑,今天民警抓获韩某后,其把暂扣韩某的电脑送至派出所。韩某2018年2月到公司负责财务系统维护,5月被调整至技术保障部,工作地点从朝阳区酒仙桥总部调整至海淀区上地福道大厦,韩某对组织调整有意见,觉得自己不受重视,调整之后消极怠工,经常迟到早退,也有旷工现象。经查看公司监控录像,韩某于2018年6月4日11点左右到福道大厦三层西侧自己的工作区域上班,当天18时左右离开公司。

其于2018年9月14日证言,证实公司内韩某、张某、高某、薛某、杨某有通过公司内网使用root权限直接登录服务器的权限,公司当时的服务商小四科技也有权限登录,但需要从外网使用公司提供的账号通过专用通道从堡垒机跳转至服务器进行维护工作,堡垒机上会记载所有的操作,且小四科技无法删除堡垒机上记载的所有操作。

其于2019年1月15日证言,证实许某没有财务系统root登录权限,他只能通过堡垒机登录财务系统。每个员工在入职时会获得一个唯一且固定的邮箱,邮箱的前缀是每个员工的账号,网络认证、收发邮件时都需要,这是一个非常私密的账号,公司要求员工在每个季度强制更改密码,韩某的唯一员工账号是×××。

被告人韩某供述:


韩某于2018年7月31日供述,述称前一段时间,其听说公司系统坏了,服务器被删,当天其用其权限尝试登录系统,但登不上去。当时公司找了第三方可以登录系统的人。几天后链家网道德委员会工作人员把其笔记本电脑封存了。其于2018年2月1日入职,负责财务系统数据库管理,开始属于财务线,在信息化线待了几天到了技术线,后搬到上地六街数字传媒大厦八层。按规定其只能有数据库操作权限,但公司管理很乱,其入职后公司就给了其登录管理系统权限,可以在系统上安装和删除相关的应用程序。公司张某、杨某、高某、一女的、小四科技供应商公司的人、徐章毅、汉得公司和元年公司的人有这个权限,还有一个有权限的公司是之前和链家合作过的公司。其上班期间使用的是自己的苹果笔记本电脑,其不提供电脑名称和密码,这是其个人隐私,公安机关可以用自己的方法检查其电脑。

其于2018年8月5日供述,述称2018年6月4日,其做系统巡检时被登录的财务EBS系统踢出来了,系统链接断了,再登录也登录不上去了。其没有删除过公司财务系统数据。其电脑密码一个月不操作就会变换一个随机密码,现应已自动换密码,只能联网后擦除电脑数据变成新电脑使用。以前在酒仙桥链家公司总部上班时碰到过类似被系统踢出的情况,其给领导发过邮件,这个系统是不安全的。

一审裁决


北京市海淀区人民法院认为,韩某违反国家规定,对计算机信息系统中存储的数据和应用程序进行删除,造成计算机信息系统不能正常运行,后果特别严重,其行为已构成破坏计算机信息系统罪,依法应予惩处。依照《中华人民共和国刑法》第二百八十六条第一款、第二款之规定,判决:韩某犯破坏计算机信息系统罪,判处有期徒刑七年。


上诉


韩某对此提出上诉,主要理由为:

监控录像等证据证明其没有实施犯罪。其不是可以进入被害单位内网且有Yggdrasil主机名的唯一用户。证明其电脑中存在sherd及rm命令的证据之间存在矛盾。在其电脑中检索到的关于Mac地址EA:36:33:43:78:88的记录与其无关,有可能是该MAC地址的设备访问其电脑留下的。被害单位刻意制造维修费用,且没有证据证明被害单位损失,故其不认可被害人的损失数额。

经查,国家信息中心电子数据司法鉴定中心司法鉴定意见书证明:

2018年6月4日14时至15时期间,IP地址为10.33.35.160的终端用户远程以root身份登录链家公司服务器并通过执行rm、shred命令删除数据文件、擦除操作日志等,而该IP地址于6月4日14时17分被分配给MAC地址为EA-36-33-43-78-88、主机名为Yggdrasil的设备使用。该IP地址为链家公司福道大厦3楼交换机所覆盖网络区域,而韩某具有root权限且于案发当日在上述IP地址的网络覆盖区域内上班。经司法鉴定确认,韩某电脑的主机名为Yggdrasil,与登录服务器执行删除、擦除命令的电脑主机名一致;韩某电脑的MAC地址虽不是EA-36-33-43-78-88,但其电脑中安装有用于更改MAC地址的软件WiFiSpoof,且在其电脑的相关文件中检索到多条与上述MAC地址相关的记录。综合案发后韩冰的表现,以及对具有类似权限人员所用电脑的鉴定结论等情况,能够确定韩某实施了删除链家公司财务系统服务器程序数据的行为。

对于韩某所提监控录像证明其没有实施犯罪的上诉理由,经查:视频服务器和涉案四台服务器均未与标准时间校准,无法判断监控时间与服务器时间的时间差,无法以视频时间和服务器时间排除韩某作案的可能。

二审


北京市第一中级人民法院认为,上诉人韩某违反国家规定,对计算机信息系统中存储的数据和应用程序进行删除,造成计算机信息系统不能正常运行,其行为已构成破坏计算机信息系统罪,且后果特别严重,依法应予惩处。一审法院根据韩某犯罪的事实、犯罪的性质、情节及对于社会的危害程度所作出的判决,事实清楚,证据确实、充分,定罪及适用法律正确,量刑适当,审判程序合法,应予维持。据此,依照《中华人民共和国刑事诉讼法》第二百三十六条第一款第(一)项之规定,裁定如下:驳回上诉,维持原判。

二〇二〇年十二月二十九日



    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存