打開泰伯APP,感受不一樣的閱讀體驗
立即體驗

因不滿工作調整,鏈家一員工刪除公司 9 TB數據,被判7年

1月6日,北京市第一中級人民法院公布前鏈家員工破壞計算機信息系統罪一案的刑事裁定書,被告人因不滿工作調整,刪公司9TB數據。上述事實,...

1月6日,北京市第一中級人民法院公布前鏈家員工破壞計算機信息系統罪一案的刑事裁定書,被告人因不滿工作調整,刪公司9TB數據。

因不滿工作調整,鏈家一員工刪除公司 9 TB數據,被判7年

上述事實,有經一審庭審舉證、質證并予以確認的被告人韓冰的供述,證人周某等人的證言,司法鑒定意見書,技術服務合同,銀行電子回單,發票,情況說明,MAC地址行為日志,鏈家公司檢索主機名詳單,勞動合同,電子郵件,會議紀要,微信群聊天記錄,員工信息,扣押筆錄,受案登記表,到案經過等證據證實。

北京市海淀區人民法院認為,被告人韓冰違反國家規定,對計算機信息系統中存儲的數據和應用程序進行刪除,造成計算機信息系統不能正常運行,后果特別嚴重,其行為已構成破壞計算機信息系統罪,依法應予懲處。依照《中華人民共和國刑法》第二百八十六條第一款、第二款之規定,判決:被告人韓冰犯破壞計算機信息系統罪,判處有期徒刑七年。

上訴人韓冰的主要上訴理由為:監控錄像等證據證明其沒有實施犯罪。其不是可以進入被害單位內網且有Yggdrasil主機名的唯一用戶。證明其電腦中存在sherd及rm命令的證據之間存在矛盾。在其電腦中檢索到的關于Mac地址EA:36:33:43:78:88的記錄與其無關,有可能是該MAC地址的設備訪問其電腦留下的。被害單位刻意制造維修費用,且沒有證據證明被害單位損失,故其不認可被害人的損失數額。

上訴人韓冰的辯護人的主要辯護意見為:本案事實不清、證據不足,不能排除合理懷疑,應疑罪從無。電子數據鑒定意見的起始基準時間晚于案發一個多月,不能確定在此期間電子數據有無修改?,F有證據不能證實韓冰實施刪除行為的準確時間以及韓冰實施了使用命令攻擊刪除行為。不能排除系有漏洞和程序問題導致外介質因素入侵。是否造成系統全部癱瘓的事實不清、證據不足,刪除數據大小不明確。18萬元損失的認定證據不足,沒有第三方機構評估、鑒定等證據。韓冰具有主觀惡性不大,未造成嚴重社會影響等從輕情節。

二審審理期間,上訴人韓冰及其辯護人均未向法庭提交新的證據。

經二審審理查明的事實與一審相同。一審判決所據證據,經審查,證據的收集及質證符合法定程序,能夠證明認定的事實,本院予以確認。

對于上訴人韓冰及其辯護人所提本案存在多重合理懷疑,應當認定韓冰無罪的上訴理由及辯護意見,經查:國家信息中心電子數據司法鑒定中心司法鑒定意見書證明,2018年6月4日14時至15時期間,IP地址為10.33.35.160的終端用戶遠程以root身份登錄鏈家公司服務器并通過執行rm、shred命令刪除數據文件、擦除操作日志等,而該IP地址于6月4日14時17分被分配給MAC地址為EA-36-33-43-78-88、主機名為Yggdrasil的設備使用。該IP地址為鏈家公司福道大廈3樓交換機所覆蓋網絡區域,而韓冰具有root權限且于案發當日在上述IP地址的網絡覆蓋區域內上班。經司法鑒定確認,韓冰電腦的主機名為Yggdrasil,與登錄服務器執行刪除、擦除命令的電腦主機名一致;韓冰電腦的MAC地址雖不是EA-36-33-43-78-88,但其電腦中安裝有用于更改MAC地址的軟件WiFiSpoof,且在其電腦的相關文件中檢索到多條與上述MAC地址相關的記錄。綜合案發后韓冰的表現,以及對具有類似權限人員所用電腦的鑒定結論等情況,能夠確定韓冰實施了刪除鏈家公司財務系統服務器程序數據的行為。上訴人韓冰及其辯護人所提的相關辯解及辯護意見,無事實及法律依據,本院不予采納。

對于上訴人韓冰所提監控錄像證明其沒有實施犯罪的上訴理由,經查:視頻服務器和涉案四臺服務器均未與標準時間校準,無法判斷監控時間與服務器時間的時間差,無法以視頻時間和服務器時間排除韓冰作案的可能。故對韓冰的該項上訴理由,本院不予采納。

對于上訴人韓冰及其辯護人所提認定被害單位損失的證據不足的上訴理由及辯護意見,經查:鏈家公司情況說明等證據證明,財務系統數據修復系專業性強、時效性高的技術類工作,鏈家公司在被刪除系統后緊急聘請第三方公司進行財務數據恢復工作,不屬于刻意制造費用。技術服務合同、服務報價單、銀行電子回單、發票等證據證明,鏈家公司基于財務系統受損而支付修復費用18萬元。一審據此認定被害單位損失,證據確實充分。故韓冰及其辯護人的相關意見,缺乏事實及法律依據,本院均不予采納。

本院認為,上訴人韓冰違反國家規定,對計算機信息系統中存儲的數據和應用程序進行刪除,造成計算機信息系統不能正常運行,其行為已構成破壞計算機信息系統罪,且后果特別嚴重,依法應予懲處。一審法院根據韓冰犯罪的事實、犯罪的性質、情節及對于社會的危害程度所作出的判決,事實清楚,證據確實、充分,定罪及適用法律正確,量刑適當,審判程序合法,應予維持。據此,依照《中華人民共和國刑事訴訟法》第二百三十六條第一款第(一)項之規定,裁定如下:

駁回上訴,維持原判。

本裁定為終審裁定。

審 判 長  關 芳
審 判 員  鮑 艷
審 判 員  孫 燕

二〇二〇年十二月二十九日

法官助理  韓 峰
書 記 員  孟丹丹

因不滿工作調整,鏈家一員工刪除公司 9 TB數據,被判7年

被告人韓冰于2018年7月31日被公安機關抓獲。

針對上述指控,公訴機關向本院提交了相關證據材料,認為被告人韓冰違反國家規定,對計算機信息系統中儲存的數據和應用程序進行刪除,后果特別嚴重,其行為觸犯了《中華人民共和國刑法》第二百八十六條第二款之規定,構成破壞計算機信息系統罪,提請本院對被告人韓冰依法懲處。

被告人韓冰辯稱,其沒有實施指控行為。其辯護人的辯護意見為:從實際后果看沒有造成其他嚴重后果。升級改造及后期維護、重新搭建系統不屬于經濟必然損失,18萬的花費夸大了真實修復費用。本案發生一個多月后偵查機關才介入提取、固定證據,電子數據鑒定意見的起始基準時間晚于案后一個多月,不能確定在此期間電子數據是否被增加、刪除、修改,本案涉及其他有root權限的人扣押電子證據時間是8月17日,不排除其他因素可能性?,F有證據不能證實被告人實施刪除行為具體準確時間、被告人實施了使用命令攻擊刪除行為,是否造成系統全部癱瘓的事實不清、證據不足,刪除數據大小不明確,本案的關聯性證據調取不完整,被害單位系統在攻擊前是否完善、是否有漏洞,不能排除因系統有漏洞或程序問題導致外介質因素入侵的合理懷疑。本案事實不清、證據不足,不能排除合理懷疑,應疑罪從無。

經審理查明,2018年6月4日14時許,被告人韓冰在位于本市海淀區上地三街福道大廈三層的鏈家網(北京)科技有限公司(以下簡稱鏈家公司),利用其擔任鏈家公司數據庫管理員并掌握公司財務系統root權限的便利,登錄公司財務系統服務器刪除了財務數據及相關應用程序,致使公司財務系統無法登錄。鏈家公司為恢復數據及重新構建財務系統共計花費人民幣18萬元。2018年7月31日,被告人韓冰被公安機關抓獲歸案。

針對上述事實,公訴人當庭宣讀、出示了下列證據材料:
1、被告人韓冰于2018年7月31日供述,述稱前一段時間,其聽說公司系統壞了,服務器被刪,當天其用其權限嘗試登錄系統,但登不上去。當時公司找了第三方可以登錄系統的人。幾天后鏈家網道德委員會工作人員把其筆記本電腦封存了。其于2018年2月1日入職,負責財務系統數據庫管理,開始屬于財務線,在信息化線待了幾天到了技術線,后搬到上地六街數字傳媒大廈八層。按規定其只能有數據庫操作權限,但公司管理很亂,其入職后公司就給了其登錄管理系統權限,可以在系統上安裝和刪除相關的應用程序。公司張某、楊某、高某、一女的、小四科技供應商公司的人、徐章毅、漢得公司和元年公司的人有這個權限,還有一個有權限的公司是之前和鏈家合作過的公司。其上班期間使用的是自己的蘋果筆記本電腦,其不提供電腦名稱和密碼,這是其個人隱私,公安機關可以用自己的方法檢查其電腦。

其于2018年8月5日供述,述稱2018年6月4日,其做系統巡檢時被登錄的財務EBS系統踢出來了,系統鏈接斷了,再登錄也登錄不上去了。其沒有刪除過公司財務系統數據。其電腦密碼一個月不操作就會變換一個隨機密碼,現應已自動換密碼,只能聯網后擦除電腦數據變成新電腦使用。以前在酒仙橋鏈家公司總部上班時碰到過類似被系統踢出的情況,其給領導發過郵件,這個系統是不安全的。

2、證人周某(鏈家公司職業道德建設中心總監)于2018年7月12日證言,證實2018年6月4日14時35分許,公司技術保障部楊某發現公司財務系統服務器應用程序出現故障無法登錄,就派技術人員到機房進行檢查,發現財務系統服務器(EBS系統)應用程序及9TB的數據被惡意刪除,后公司找杭州惜飛信息技術有限公司和小四科技(北京)有限公司對財務系統服務器應用程序及數據進行了重建和恢復,直到6月12日才全部完成恢復,共計花費18萬元。因有權限進入公司財務系統的只有技術保障部五個人,公司在內部進行了初步排查,收集了這五個人的筆記本電腦,其中四人主動上交了個人筆記本電腦及密碼,但韓冰拒不交代自己的筆記本電腦密碼,也對破壞的事情拒不承認,韓冰有嫌疑,其代表公司來報案。被破壞的服務器是公司專門用于EBS系統的2臺數據庫服務器和2臺應用服務器,2臺數據庫服務器的IP地址分別為10.10.26.33和10.10.26.34,2臺應用服務器的IP分別為10.200.28.96和10.200.28.97。公司財務系統存放著公司成立以來所有的財務數據,影響到公司人員的工資發放等,對公司整個運行有非常重要的意義。

其于2018年7月31日證言,證實公司在2018年6月6日17時許暫扣了有權限接觸到公司財務系統的五個人的筆記本電腦,今天民警抓獲韓冰后,其把暫扣韓冰的電腦送至派出所。韓冰2018年2月到公司負責財務系統維護,5月被調整至技術保障部,工作地點從朝陽區酒仙橋總部調整至海淀區上地福道大廈,韓冰對組織調整有意見,覺得自己不受重視,調整之后消極怠工,經常遲到早退,也有曠工現象。經查看公司監控錄像,韓冰于2018年6月4日11點左右到福道大廈三層西側自己的工作區域上班,當天18時左右離開公司。

其于2018年9月14日證言,證實公司內韓冰、張某、高某、薛某、楊某有通過公司內網使用root權限直接登錄服務器的權限,公司當時的服務商小四科技也有權限登錄,但需要從外網使用公司提供的賬號通過專用通道從堡壘機跳轉至服務器進行維護工作,堡壘機上會記載所有的操作,且小四科技無法刪除堡壘機上記載的所有操作。

其于2019年1月15日證言,證實許某沒有財務系統root登錄權限,他只能通過堡壘機登錄財務系統。每個員工在入職時會獲得一個唯一且固定的郵箱,郵箱的前綴是每個員工的賬號,網絡認證、收發郵件時都需要,這是一個非常私密的賬號,公司要求員工在每個季度強制更改密碼,韓冰的唯一員工賬號是×××。

3、證人張某(鏈家公司數據庫管理員)于2018年8月2日證言,證實其和韓冰大概在七八年前的一次聚會上相識,后在中航金網做過同事。2018年3月,其在鏈家公司財務線工作,當時財務線缺人,其就把韓冰招到財務線工作了。5月左右,韓冰發現公司財務系統有安全問題發郵件告訴了其,其和韓冰在開會時向多個領導匯報了財務系統的安全問題,建議公司啟動安全項目來修復安全問題,但領導們沒當回事。兩周之后,其在財務線工作的部門被劃到了信息線,在信息線部門開會時,其和韓冰又向信息線領導周小龍匯報了財務系統的安全問題,并建議周小龍啟動安全項目來修復,但周小龍依然沒有重視,在建議過程中其和周小龍起了爭執。大約又過了三天,其和韓冰被周小龍從信息線轉到了福道大廈技術線工作。公司服務器登錄權限登錄到公司服務器上可以新增刪除修改文件,這個權限可以登錄公司財務系統,可以把財務系統刪除。在剛來福道大廈技術線時,整個技術線只有其和韓冰有這個權限,到了技術線后,其把這個權限交給了技術線領導楊菁緯、負責安全的領導許某。后其知道鏈家網供應商員工高某,還有一個女員工有這個權限。公司財務系統被刪除當天其在301醫院看病,其在公司郵箱看到韓冰的郵件說公司財務系統連不上了就從醫院趕回福道大廈。

4、證人高某(鏈家公司運維工程師)于2018年8月17日證言,證實其和韓冰在業務上沒有什么交集,偶爾在數據庫方面有不懂的問題會去請教他。公司服務器的登錄權限登錄到公司服務器上可以啟動和停止服務器上的應用,可以在服務器上添加和刪除文件,也可以把公司的財務系統刪除。公司服務器上只有一個賬戶名為root的共用賬戶擁有這個權限。其和楊某、張某、韓冰、薛某知道這個賬戶的密碼。公司財務系統被刪除當天其在公司上班,當天服務器登錄不上去,財務系統的應用和網站登錄不上去。當天張某請假了、其不確定韓冰在哪里、楊某和薛某在單位。

5、證人楊某(鏈家公司經理)于2018年8月17日證言,證實韓冰雖掛在其部門,但不直接向其匯報工作。韓冰和張某是2018年5月17日到福道大廈辦公區的。張某和韓冰沒來之前,財務線上一些安全上的活是其部門來做,他們來了后就交給了他們,但在他們工作過程中出現了一些問題,領導周小龍就讓韓冰和張某并入其這組一起干這個活。公司服務器的登錄權限登錄到公司服務器上可以新增刪除修改文件,這個權限可以登錄到公司財務系統,可以把財務系統刪除。其和韓冰、張某、高某、薛某有這個權限。2018年6月4日14時30分許,公司財務系統被刪除,當時其在公司上班應該在午休。當天看錄像發現韓冰在14時拿著電腦去了休息區,14時20分左右回到他的工位,其他人沒有發現異常。

6、證人薛某(鏈家公司工程師)于2018年8月17日證言,證實公司數據庫被刪除,將有權限的職員叫在一起排查這事時其才知道韓冰,其負責公司服務運維,他負責財務數據庫。其負責服務器登錄權限的開通。其和張某、高某、楊某、韓冰、許某有財務數據庫權限。公司服務器的登錄權限是服務器root權限,就是超級管理員權限,可以對服務器進行任何操作。其不知道財務數據庫的IP,張某和韓冰管理財務數據庫,他二人應該知道。只有同時知道IP和擁有root權限才能進入財務數據庫并進行操作。其不知道財務系統哪天刪的,公司讓其查過2018年6月4日堡壘機登錄日志,當天其在公司上班。

7、證人許某(鏈家公司安全和風控管理部高級經理)于2019年1月15日證言,證實其主要負責和信息安全相關的工作。其沒有公司財務系統root直接登錄權限,只能通過堡壘機登錄。

8、證人陳某(鏈家公司技術保障部高級總監)于2019年6月14日證言,證實2018年6月5日,公司財務系統被人惡意刪除,6月6日公司職業道德委員會負責人周某把5名有操作權限的人張某、韓冰、楊某、高某和薛某召集到一起做內部調查。周某說如果自己承認就作為公司內部處理,如果沒人承認就移交公安機關處理。當時沒人站出來,周某要把大家的電腦封存,要求提供開機密碼,其他人都提供了只有韓冰沒有提供,韓冰稱自己電腦有隱私、密碼只能提供給公安機關,如果要看的話只能他自己輸入密碼,在他在場的情況下才能檢查。其當時站在韓冰身邊,韓冰輸入密碼開機,關閉一些對話框,其沒有發現電腦里有嫌疑。張某聽韓冰這么說后也要求密碼向公安機關提供,后公司報警。

其于2019年6月20日證言,證實其操作韓冰的電腦使用搜索命令搜索-shred命令,沒有搜索到,大概閱覽了電腦內安裝的程序,沒有發現特別的內容。這樣的檢查是完全不可能排除韓冰的嫌疑的。公司財務系統被攻擊的方式只要是連接到服務器就可以執行,這樣的操作是不會在電腦端留下痕跡的,只會在服務器上留下痕跡。公司當時檢查每個人的電腦,執行這些檢查的操作,主要是為了看看當時韓冰等人的反映。公司確定是韓冰實施破壞行為與這次檢查沒有任何關系。這次檢查沒有取消對任何人的嫌疑,相反只有韓冰不提供自己電腦的用戶名和密碼,最終是由公司提供的多方證據而鎖定韓冰的。

9、國家信息中心電子數據司法鑒定中心司法鑒定意見書,證實經對IP地址標識為10.10.26.33的服務器進行鑒定,送檢服務器Raid-1—Disk-2系統分區中/var/log/目錄下所有日志文件均被人為擦除,Raid-5—Disk-1數據分區中/app/、/rmanbak/目錄下大量數據文件被刪除。通過日志恢復與關聯分析,可以確定IP為10.33.35.160的終端用戶在2018年6月4日14時至15時期間,遠程以root身份登錄至該服務器,通過執行rm、shred命令刪除了服務器中的數據文件,并擦除了當前用戶的所有操作日志。

司法鑒定回復函,證實本鑒定意見書附件二光盤中的5個文件Root\.bash_history、\home\finance\.bash_history、\home\oraprod\.bash_history、\home\grid\.bash_history、0046595.txt。其中4個不同路徑下的.bash_history文件是送檢服務器硬盤中的原始文件,直接提取得到,未經過任何處理。0046595.txt是使用數據恢復方法在送檢服務器硬盤的底層碎片空間重組得到,僅說明文件中的數據內容在本機硬盤生成且存儲過,不保證所有數據內容來自原系統中的同一個文件。

10、國家信息中心電子數據司法鑒定中心司法鑒定意見書,證實經現場提取與檢驗鑒定,現場登錄服務器后導出IP地址10.33.35.160在2018年6月4日期間事件日志,DHCP服務器將IP地址10.33.35.160于2018年6月4日14時17分許分配給客戶端ID(設備MAC地址)為EA-36-33-43-78-88的網絡接入設備,該設備的主機名為Yggdrasil,14時47分許同樣分配給客戶端ID為EA-36-33-43-78-88的網絡接入設備,該設備的主機名為Yggdrasil;進一步分析IP地址10.33.35.160在2018年6月4日期間所有上網行為記錄,將上網行為管理服務器中IP地址10.33.35.160在6月1日至4日期間所有網絡訪問日志導出,上述日志中,可以明確IP地址10.33.35.160對應的訪問終端MAC地址為EA-36-33-43-78-88,同DHCP服務器中提取的日志信息一致。該IP地址在6月1日至4日期間所有的網絡訪問主要集中在6月4日14時至15時28分之間??梢源_定IP地址10.33.35.160對應的物理區域為北京市海淀區開拓路11號福道大廈3樓交換機所覆蓋的網絡區域內。

11、北京中海義信信息技術有限公司司法鑒定所司法鑒定意見書,證實經對被告人韓冰的蘋果電腦進行提取,未檢索到該計算機登錄涉案服務器IP:10.10.26.33,10.10.26.34,10.200.28.96,10.200.28.97的記錄;該電腦計算機系統為MacOSX10.13.5,主機名為Yggdrasil;該電腦Wi-Fi的Mac地址為28-CF-E9-1C-48-13;該電腦中安裝有WiFiSpoof軟件;在該電腦中的$InodeTable文件中檢索到與Mac地址28:CF:E9:1C:48:13相關記錄92條,檢索到與Mac地址EA:36:33:43:78:88相關記錄4條;該電腦中的終端記錄中包含shred與rm命令,該命令為本地執行命令。

12、北京通達法正司法鑒定中心司法鑒定意見書,證實經對薛某、高某、張某、楊某持有的筆記本電腦進行鑒定,四臺電腦的計算機名均不是Yggdrasil,MAC地址均不是EA-36-33-43-78-88。四臺電腦2018年6月4日的行為日志中均未發現有登錄財務系統執行-shred、-rm命令進行刪除操作。

13、杭州惜飛信息技術有限公司情況說明及數據庫異?;謴图夹g服務合同、服務報價單、中國光大銀行電子回單、發票,證實2018年6月4日,該公司接到鏈家公司關于提供數據恢復服務的需求,工程師經工作發現被破壞服務器對應的IP地址:10.10.26.33和10.10.26.34組成的OracleRAC集群,業務數據庫名稱為EBS系統數據庫,故障原因為RAC集群兩臺服務器均被執行rm-rf/u01,rm-rf/u02等刪除目錄下所有文件,包括集群和數據庫相關文件,rm-rf/etc,/var等刪除掉操作系統相關目錄,導致oracle集群和系統均無法提供正常服務,系統不可用。被刪除數據量預估為9TB左右,被刪除的文件導致整個數據集群異常,無法對外提供Oracle服務,由于刪除大量文件,系統已經無法正常使用,Oracle集群、數據庫均無法啟動。執行恢復的動作:在新機器上進行恢復,通過自研工具對ASM磁盤組中的數據文件信息分析后,安裝新集群和數據庫后進行配置,讓新集群能夠訪問到存儲上的ASM磁盤組數據,新機器可以直接對外提供數據庫服務?;謴偷臄祿浚和ㄟ^對損壞系統的分析,重新實施RAC集群和進行相關配置,順利恢復OracleASM中Oracle數據文件9TB左右,實現數據庫中數據0丟失(被刪除的數據中,無數據庫的直接業務數據,Oracle數據存儲在ASM中)?;謴托聶C器IP地址:10.10.26.11和10.10.26.12兩臺機器組成新OracleRAC集群。經該公司工作,數據服務于2018年6月6日恢復使用,收取數據恢復服務費10萬元。

14、小四科技(北京)有限公司情況說明及核心財務系統技術服務合同、中國光大銀行電子回單、發票,證實2018年6月4日,該公司接到鏈家公司關于提供OracleEBS系統恢復服務的需求,技術顧問及鏈家公司員工發現:4臺服務器均不能正常工作,同時安裝在這些服務器上的ORACLEEBS系統也不能正常提供業務服務即不能進行正常的賬務處理操作。經工作,該公司于2018年6月12日將EBS系統重新搭建,使得EBS系統恢復到事故前的全部功能,并收取服務費人民幣8萬元。

15、鏈家公司情況說明,證實2018年6月4日14時35分,公司財務人員上報公司財務總賬系統(EBS系統)出現故障,無法登錄。后公司技術保障部門人員開始排查,現象是服務器登錄失敗,提示驗證失敗。15時30分左右,經過在服務器的管理卡登錄查看服務器狀況,發現有人登錄系統執行了刪除命令。遠程查詢公司專門用于EBS系統的2臺數據庫服務器(IP地址分別為10.10.26.33和10.10.26.34)和2臺應用服務器(IP地址分別為10.200.28.96和10.200.28.97)的狀況,確認4臺服務器被刪除的財務系統數據總大小為9TB,包括數據庫的備份數據,應用的程序目錄和歸檔數據。因上述數據被刪除導致EBS系統無法登錄和服務不可用。經初步判斷,系被人惡意刪除。當天正是公司財務月結的關鍵時期,如果EBS系統不可用將直接導致當月無法月結,如財務系統數據被刪除無法恢復將危及公司的正常運營,令公司蒙受損失和風險。因數據恢復屬于專業性很強的技術類工作,公司并無此類數據恢復的人員和經驗,故緊急聘請杭州惜飛信息技術有限公司來完成財務數據恢復工作。當天杭州惜飛公司派工程師前往現場進行工作。對被破壞的服務器10.10.26.33和10.10.26.34組成的OracleRAC集群執行數據恢復工作,共恢復數據文件9T。杭州惜飛信息技術有限公司收取公司數據恢復服務費用10萬元。因EBS系統軟件和應用程序均已被刪除,導致服務無法正常使用,需要重新搭建EBS系統,使其能正常提供服務,公司緊急聘請小四科技(北京)有限公司來完成EBS系統重建和恢復工作。當天小四科技架構師朱龍春會同公司同事到達光環新網IDC中心進行工作?,F場發現EBS財務系統因文件被刪除不能正常提供業務服務和賬條處理操作。后經小四科技同事的連續工作,在新的服務器重新搭建一套ORACLEEBS系統并安裝相關專業軟件。EBS財務系統直到6月12日才全部恢復到事故前的全部功能。小四科技(北京)有限公司收取公司系統恢復服務費用8萬元。

16、鏈家公司關于案發IP地址追蹤核查工作情況說明,證實10.33.35.160的IP地址為鏈家福道辦公樓內網有線網絡IP地址,根據IP地址分配信息鎖定為三樓辦公工位有線網絡接入。福道辦公工位有線網絡地址分配為動態地址分配(DHCP服務),通過查詢6月4日當天DHCP服務信息,并對照內網客戶端IP地址管理服務(IPAM服務),可以確定IP地址對應的MAC地址為EA-36-33-43-78-88,主機名為Yggdrasil。根據DHCP和IPAM數據以主機名為Yggdrasil反查2018年5月22日至6月4日的數據,獲得信息發現如下:根據IP地址和MAC地址對應DHCP查詢信息,主機名為Yggdrasil的計算機在2018年5月22日10時43分首次接入鏈家福道辦公樓內網辦公無線網絡,MAC地址為28-CF-E9-1C-48-13,無線網絡IP分配為10.33.76.115。同時,通過檢索公司內網企業員工用戶身份認證數據發現,該計算機于5月22日10時46分通過無線網絡進行了企業員工身份認證,認證用戶名為×××(韓冰)。該認證用戶名為鏈家員工企業郵箱前綴(固定且唯一),密碼為企業郵箱密碼。認證后認證服務會記錄網絡接入設備(計算機或手機)的MAC地址、IP地址、認證用戶名、認證時間。此外,根據IP地址和MAC地址對應DHCP查詢信息,該MAC地址28-CF-E9-1C-48-13的計算機,在5月22日至5月28日8時29分期間分配的有線網絡IP地址為10.33.35.110。通過公司內網上網行為管理系統查詢,5月28日8時15分,韓冰的蘋果電腦(主機名為Yggdrasil,MAC地址為28-CF-E9-1C-48-13)通過有線網絡IP地址10.33.35.110訪問瀏覽了http://soft.macx.cn/6216.htm網頁,該網頁為蘋果電腦WiFiSpoof工具下載網頁,該工具用于隨機更改MAC地址。后5月28日8時29分起,主機名為Yggdrasil的計算機的MAC地址便開始頻繁變更,導致有線和無線的IP地址也相繼變更。6月4日14時13分,該計算機接入無線網絡(IP地址為10.33.80.168,MAC地址為EA-36-33-43-78-88),但未進行員工身份認證。在14時17分(該時間為DHCP動態地址分配服務系統時間,與上網行為管理系統時間相差為3分),該計算機接入有線網絡(IP地址為10.33.35.160,MAC地址為EA-36-33-43-78-88),該IP地址10.33.35.160即為案發時登錄和執行數據刪除操作的IP地址。

17、關于主機名為Yggdrasil的計算機核查工作情況說明,證實經查詢,自2018年1月1日0時至6月5日24時,主機名為Yggdrasil的計算機所對應的全部MAC地址和分配的無線IP地址中,有且只有28-CF-E9-1C-48-13這個MAC地址和10.33.76.115這個無線IP進行過無線網絡身份認證,認證的用戶名為×××,即為韓冰本人。其余的MAC地址和分配的無線IP地址均未進行過無線網絡身份認證。

18、鏈家公司關于破壞數據的主機名Yggdrasil的核查情況說明,證實公司工程師以時間點“2018年6月4日”和“IP10.33.35.160”等兩個要素,通過無線網絡認證系統和上網行為管理系統進行查詢發現,IP“10.33.35.160”在2018年6月4日15時28分41秒瀏覽了URL地址http://www.moto8.com。經分析,此網站是一個關于摩托的專業論壇,域名www.moto8.com的對應的唯一IP地址58.218.199.90。在公司的上網行為設備上進行2018年1月1日到6月30日分析訪問共發現記錄29條,其中2條無員工名、主機名為Yggdrasil,4條員工名為×××、主機名為Yggdrasil,其余18條員工名為mengdeyu。經對公司在職人員名單查詢,mengdeyu為孟德宇,×××為韓冰。因登錄財務系統需要“root”權限,確認孟德宇沒有此權限,且孟德宇所有的IP10.33.68.73均為無線網絡登錄,需要進行密碼認證,確認孟德宇主機名沒有Yggdrasil。韓冰騎行摩托車上下班,平時表現出非常喜愛摩托車,×××對應的網卡物理地址28-cf-e9-1c-48-13,IP地址10.33.76.115在2018年5月24日和5月28日登錄www.moto8.com網站時使用的主機名均為Yggdrasil。綜上,通過對2018年5月24日和5月28日的數據調查,可以確定×××賬號訪問www.moto8.com網站行為,其主機名為Yggdrasil,與刪除數據IP10.33.76.160主機名Yggdrasil相一致。

19、被告人韓冰的員工信息,證實韓冰的電子郵箱為×××@ke.com。

20、鏈家公司關于MAC地址EA-36-33-43-78-88核查工作情況說明,證實通過查詢2018年1月1日0時至6月5日24時全部動態地址分配服務,并對照內網客戶端IP地址管理服務,發現MAC地址EA-36-33-43-78-88只在2018年6月4日出現過,在14時13分接入無線網絡分配的IP地址10.33.80.168(接入無線網絡但并未進行身份認證),在14時17分接入有線網絡時分配的IP地址為10.33.35.160,對應計算機主機名均為Yggdrasil。

21、鏈家公司情況說明,證實公司實際辦公地點為北京市海淀區開拓路11號福道大廈。公司定位執行刪除數據的來源IP地址10.33.35.160的物理位置是福道大廈三層,約2000平方米范圍內。

22、鏈家公司關于財務系統服務器刪除操作的情況說明,證實公司對IP為10.10.26.33的服務器操作命令日志進行解析,發現文件刪除命令的相關操作記錄,2018年6月4日14時22分21秒至14時58分22秒進行了用戶登錄、切換到“finance”用戶、以shred-u-z命令刪除/var/log/下所有文件并重復擦除、以rm-rf命令刪除文件、用戶登出等操作。對IP為10.10.26.34的服務器操作命令日志進行解析,發現文件刪除命令的相關操作記錄,2018年6月4日14時23分29秒至14時53分11秒進行了切換到finance用戶(該用戶有最高權限,可以執行刪除操作)、以shred-u-z命令刪除/var/log/下所有文件并重復擦除、以rm-rf命令刪除文件等操作。

23、鏈家公司檢索主機名詳單,證實2018年5月28日7時51分,IP地址10.33.35.110對應客戶端ID為28-CF-E9-1C-48-13,主機名為Yggdrasil;2018年6月4日14時13分,IP地址10.33.80.168對應客戶端ID為EA-36-33-43-78-88,主機名為Yggdrasil;2018年6月4日14時17分,IP地址10.33.35.160對應客戶端ID為EA-36-33-43-78-88,主機名為Yggdrasil。

24、鏈家公司關于財務系統數據庫漏洞情況說明,證實公司財務總賬系統四臺數據庫服務器在2018年6月4日案發前均已采取安全防護措施,不存在saltminion、crd、ldap漏洞且無法通過外網直接連接,只能通過內網訪問。2018年6月4日案發當天,內網IP為10.33.35.160的終端違規以root用戶身份登錄并執行數據刪除操作的行為與上述漏洞無關。

25、鏈家公司關于我公司財務總賬系統數據庫登錄情況說明,證實2018年6月4日,公司財務總賬系統數據庫中只有兩個IP登錄痕跡,其中IP為10.33.35.160的終端違規以root用戶身份登錄,非法執行了數據刪除操作,經過追蹤核查證明,該IP即為韓冰使用,另一個IP為10.200.17.35的設備為公司堡壘機,運維管理人員均經過該堡壘機登錄財務總賬系統執行命令操作。

26、MAC地址EA-36-33-43-78-88于2018年6月4日所有行為日志,證實該地址于2018年6月4日15時28分41秒登錄www.moto8.com。

27、員工核查情況說明,證實鏈家網(北京)科技有限公司對張某、楊某、高某、薛某2018年5月15日至2018年6月15日上網行為進行核查,調取四人2018年6月4日訪問行為日志,未發現四人使用IP“10.33.35.160”、未發現四人使用“Yggdrasil”的主機名,四人均沒有對www.moto8.com的訪問記錄。

28、勞動合同、鏈家公司電子郵件、會議紀要、微信群聊天記錄,證實韓冰于2018年2月1日入職鏈家公司,擔任高級工程師。2018年5月22日到福道大廈辦公。

29、北京中海義信信息技術有限公司司法鑒定所司法鑒定意見書及情況說明,證實經對服務器本地時間(系統BIOS時間)與Internet時間(國家授時中心時間)進行比對,檢材編號為ZHYX-2019-1750-C(即IP地址標識為10.10.26.33的服務器)的服務器因無法開機,未進行檢驗。本次鑒定需要服務器加電、進入BIOS并查看系統時間,然后與國家授時中心服務器時間進行比對,因檢材編號為ZHYX-2019-1750-C的服務器在加電后無法進入BIOS,說明服務器可能存在硬件故障,所以無法進行后續檢驗。經對視頻監控系統的本地系統時間及日志信息進行檢驗,結果為視頻監控系統的本地系統時間比Internet時間(國家授時中心時間)時間快18秒;系統日志信息顯示,2019年9月11日系統用戶調減系統時間5分12秒。

30、鏈家公司情況說明,證實財務總賬系統(EBS系統)由四臺服務器搭建,IP地址分別為:10.200.28.96、10.200.28.97、10.10.26.33、10.10.26.34,公司在各臺服務器使用時未與標準時間進行校準。

31、北京中海義信信息技術有限公司司法鑒定所出具的司法鑒定意見書,證實對被告人韓冰持有的兩部手機進行鑒定,因現有技術無法破解IPhone手機屏鎖密碼,未提取到機身內有效數據。MINOTEPRO手機中未提取到涉案信息。

32、扣押決定書、扣押筆錄、扣押清單、扣押物品照片、發還清單,證實公安機關于2018年7月31日扣押被告人韓冰蘋果筆記本電腦1臺。2018年8月17日扣押高某、薛某、張某、楊某筆記本電腦各1臺,2018年10月24日,將上述筆記本電腦發還薛某、高某、張某、楊某。

33、受案登記表,證實2018年7月12日公安機關受理鏈家公司報案的情況。

34、到案經過,證實被告人韓冰于2018年7月31日被抓獲歸案。

35、被告人韓冰身份信息,證實被告人韓冰的身份情況。

經當庭質證,被告人韓冰對證據2提出異議,稱刪除9TB數據需要10小時以上;對證據7提出異議,稱其通過郵件把root權限發給過許某;對證據11提出異議,稱其電腦沒有登錄服務器就沒有能力對服務器進行任何操作,主機名不具有唯一性,WiFiSpoof軟件如不能對服務器進行操作,則與本案無關,不下載軟件也可修改Mac地址,SHRED命令MAC系統不能使用,鑒定中也沒有這兩個命令的執行時間;對證據16提出異議,稱MAC地址是唯一的,沒有軟件可以修改只能虛擬,且不需要任何軟件,只需一個命令,下載WifiSpoof多此一舉,主機名可以修改;對證據18、26提出異議,稱其沒有訪問過moto8網站;對證據23提出異議,稱MAC地址不可能修改,有線網絡和無線網絡的MAC地址不可能一樣,其筆記本電腦沒有有線網絡接口,其在公司從未使用過有線網絡;對其他證據未提出實質性異議。辯護人對證據2提出異議,稱薛某證實許某也有登錄權限;對證據7、11、26的質證意見同被告人韓冰;對證據16提出異議,稱監控時間顯示14時17分韓冰沒有任何操作電腦的行為;對證據18的效力提出異議;對其他證據未提出實質性異議。

辯護人當庭出示了以下證據:
1、鏈家公司三層休閑吧的監控錄像,證實錄像時間2018年6月4日14時11分44秒被告人韓冰坐到休閑吧椅子上打開并操作電腦,14時17分35秒合上電腦離開。
2、鏈家公司三層西三環北的監控錄像,證實錄像時間2018年6月4日14時42分32秒被告人韓冰進入監控畫面在過道內走動,14時42分54秒離開監控畫面,14時51分39秒進入監控畫面在過道內走動、打水、與同事說話,14時53分38秒離開監控畫面。

經當庭質證,公訴人對監控錄像的真實性均無異議,對證據1認為該監控錄像證明被告人韓冰離開公共區域時合上電腦但沒有關機,從無線網絡區域走向有線網絡區域,印證了無線網絡IP地址向有線網絡IP地址的切換;對證據2認為監控錄像時間未與計算機時間校準,刪除命令最長一次間隔了六分鐘,在時間沒有校準的情況下不能以被告人韓冰短暫離開電腦否認他實施了刪除行為。被告人韓冰對上述證據未提出異議。

法庭認為,控辯雙方當庭出示的證據形式及來源合法,內容客觀真實,本院予以確認,對于被告人韓冰及其辯護人的質證意見將在本院認為部分予以綜合評述。

本院認為,被告人韓冰違反國家規定,對計算機信息系統中存儲的數據和應用程序進行刪除,造成計算機信息系統不能正常運行,后果特別嚴重,其行為已構成破壞計算機信息系統罪,依法應予懲處。北京市海淀區人民檢察院指控被告人韓冰犯破壞計算機信息系統罪事實清楚,證據確實充分,指控罪名成立。針對被告人韓冰未實施指控行為的辯解及其辯護人所持無罪辯護意見,經查,根據國家信息中心電子數據司法鑒定中心司法鑒定意見書,2018年6月4日14時至15時期間遠程以root身份登錄鏈家公司服務器并通過執行rm、shred命令刪除數據文件、擦除操作日志的終端用戶的IP地址為10.33.35.160,該IP地址于6月4日14時17分被分配給MAC地址為EA-36-33-43-78-88、主機名為Yggdrasil的設備使用,該IP地址為鏈家公司福道大廈3樓交換機所覆蓋網絡區域。根據被告人韓冰的供述及證人周某、張某、高某、楊某、薛某等人證言、監控錄像等證據,被告人韓冰具有root權限且6月4日在IP地址10.33.35.160的網絡覆蓋區域內上班。根據北京中海義信信息技術有限公司司法鑒定所對被告人韓冰電腦所做鑒定,被告人韓冰電腦的主機名為Yggdrasil,與登錄服務器執行刪除、擦除命令的電腦主機名一致;被告人韓冰電腦的MAC地址雖不是EA-36-33-43-78-88,但其電腦中安裝有用于更改MAC地址的軟件WiFiSpoof,且在其電腦的相關文件中檢索到與MAC地址EA-36-33-43-78-88相關記錄4條。另經北京通達法正司法鑒定中心對鏈家公司具有root權限的另四名員工薛某、高某、張某、楊某的筆記本電腦進行鑒定,該四人電腦的主機名均不是Yggdrasil,MAC地址均不是EA-36-33-43-78-88,四人電腦2018年6月4日的行為日志中均未發現有登錄財務系統執行shred、rm命令的操作。被告人韓冰到案后未配合公安機關查明案件事實,在偵查初期拒絕提供電腦密碼,后雖提供了電腦密碼,但因密碼錯誤其電腦仍無法開機,公安機關系通過技術手段破解被告人韓冰電腦而進行鑒定。故現有證據足以證實被告人韓冰實施了刪除鏈家公司財務系統服務器程序數據的行為。根據證人周某證言及杭州惜飛信息技術有限公司、小四科技(北京)有限公司情況說明、銀行電子回單、發票、鏈家公司情況說明等證據,鏈家公司為恢復財務系統的正常運行,支付給杭州惜飛信息技術有限公司及小四科技(北京)有限公司共計18萬元的數據及系統恢復服務費,被告人韓冰的行為給鏈家公司造成的經濟損失屬于后果特別嚴重,故被告人韓冰的行為符合破壞計算機信息系統罪的構成要件。鏈家公司為恢復財務系統數據、功能而支出的18萬元費用系必要費用,辯護人所提該費用夸大真實修復費用的辯護意見未提供相應證據,公安機關介入本案的時間并不影響公安機關提取證據的效力,故對被告人韓冰的辯解及其辯護人的辯護意見,本院均不予采納。依照《中華人民共和國刑法》第二百八十六條第一款、第二款之規定,判決如下:

被告人韓冰犯破壞計算機信息系統罪,判處有期徒刑七年。

(刑期從判決執行之日起計算。判決執行以前先行羈押的,羈押一日折抵刑期一日;即自2018年7月31日起至2025年7月30日止。)

如不服本判決,可在接到判決書的第二日起十日內,通過本院或者直接向北京市第一中級人民法院提出上訴。書面上訴的,應當提交上訴狀正本一份,副本一份。

審 判 長  鄭紅艷
人民陪審員  袁 衛
人民陪審員  邢宇靜
二〇二〇年十一月四日
書 記 員  王 玨

猜你喜歡

參與評論

【登錄后才能評論哦!點擊 登錄

南粤36选7走势 新疆35选7中三个号码多少钱 1681c 股票软件 欢乐升级好友房 广西快3豹子最大遗漏值 广西快乐十分即时开奖 篮球即时比分捷报手机 onecoin维卡币 体彩p3开奖结果查询 腾讯棋牌斗地主 李絮儿双色球蓝球精准分析 湖南幸运赛车直播 nba比分亚赔大小分 美女棋牌app 3d组选稳赚投注技巧 棋牌麻将斗地主游戏 上海福彩3d开奖