金磊 萧箫 发自 凹非寺
量子位 报道 | 公众号 QbitAI

40岁链家程序员，曾向领导提出系统安全问题被无视，还被调整了工作，怒而删除自家 9TB数据库。

段子一样的“删库”事件不仅真实上演，最近还迎来了法院的最终判决。

而为恢复数据及系统，链家前后共花费18万元。

近日，北京市海淀区人民法院最终判决：被告人犯破坏计算机信息系统罪，判处有期徒刑七年。

这起“删库”事件，是怎么发生的？

2020年11月4日，判决书首次披露了这起事件的完整过程。

事情是这么开始的。

2018年2月1日，被告人韩某入职链家，负责财务系统数据库管理。

按照规定，韩某的权限，只能操作公司数据库。但韩某称，公司管理很乱，入职后就给了他登录管理系统的权限。

这个权限，可以在系统上安装、删除相关应用程序。

韩某称，自己在北京酒仙桥链家总部办公时，曾经给领导发过邮件，称这样的系统是不安全的。

另一个数据库管理员张某证实，他们曾向财务线、信息线领导汇报过财务系统的安全问题，但并未得到重视，甚至与信息线领导起过争执。

2018年5月，韩某的办公地点，从北京酒仙桥，调整到了上地六街的数字传媒大厦八层。

这次的“删库”事件，就发生在上地六街。

2018年6月4日，经公司监控录像，韩某于11点左右到工位上上班，18时左右离开公司。

当日下午14:35分，技术保障部人员发现，公司财务系统服务器应用程序出现故障，无法登录。

技术人员到机房检查，发现财务系统服务器（EBS系统）应用程序、及9TB数据，被恶意删除。这里存放着公司自成立以来，所有的财务数据，直接影响公司人员工资发放。

公司紧急找杭州惜飞信息技术有限公司、和小四科技（北京）有限公司，对数据进行恢复。

2018年6月6日，公司暂扣了5个接触到公司财务系统的员工的电脑，韩某拒绝提供电脑名称和密码。

韩某称，上班期间，他使用的是自己的笔记本电脑，因此名称、密码属于个人隐私，公安机关可以用自己的方法检查电脑。

2018年6月12日，数据恢复，链家共计花费18万元。

通过日志恢复与关联分析，可以确定IP为10.33.35.160的终端用户，在2018年6月4日14时至15时期间，远程以root身份登录至该服务器，通过执行rm、shred命令删除了服务器中的数据文件，并擦除了当前用户的所有操作日志。

2018年7月31日，韩某被公安机关抓获归案。

调查发现，导出数据来源IP地址10.33.35.160在2018年6月4日期间的事件日志，发现DHCP服务器于下午14:17分许分配给客户端ID（设备MAC地址） EA-36-33-43-78-88，设备主机名Yggdrasil。

对被告人韩某的苹果电脑进行提取后，调查人员发现，该电脑Wi-Fi的Mac地址为28-CF-E9-1C-48-13；该电脑中安装有WiFiSpoof软件；该电脑计算机系统为MacOSX10.13.5，主机名为Yggdrasil。

△WiFiSpoof界面，可用于更改MAC地址

在该电脑中的$InodeTable文件中检索到与Mac地址28：CF：E9：1C：48：13相关记录92条，检索到与Mac地址EA：36：33：43：78：88相关记录4条；该电脑中的终端记录中包含shred与rm命令，该命令为本地执行命令。

2020年11月4日，依照《中华人民共和国刑法》第二百八十六条第一款、第二款之规定，北京市海淀区人民法院判决如下：

被告人韩某犯破坏计算机信息系统罪，判处有期徒刑七年。

判决下达后，被告人韩某不服，向北京市第一中级人民法院提起上诉。

对于这起上诉，辩护人的主要辩护意见为：

本案事实不清、证据不足，不能排除合理怀疑，应疑罪从无。电子数据鉴定意见的起始基准时间晚于案发一个多月，不能确定在此期间电子数据有无修改。现有证据不能证实韩某实施删除行为的准确时间以及韩某实施了使用命令攻击删除行为。

不能排除系有漏洞和程序问题导致外介质因素入侵。是否造成系统全部瘫痪的事实不清、证据不足，删除数据大小不明确。18万元损失的认定证据不足，没有第三方机构评估、鉴定等证据。韩某具有主观恶性不大，未造成严重社会影响等从轻情节。

但在二审审理期间，上诉人韩某及辩护人均未向法庭提供新的证据。

经过调查，视频服务器和涉案四台服务器，均未与标准时间校准，无法判断监控时间与服务器时间的时间差，无法以视频时间和服务器时间，排除韩某作案的可能。

2020年12月29日，北京市第一中级人民法院驳回上诉，维持原判。

“删库”事件细节，引发热议

这起事件中的被害公司，是链家网。

链家网，前身叫做“链家在线”，成立于2010年，并于2014年正式更名。

至于其主要负责的业务，想必大家都已经比较熟知，就是房产服务平台。

根据公开资料显示，主要业务包括集房源信息搜索、产品研发、大数据处理、服务标准建立。

而财务数据，对于一家公司的重要性可想而知，对于链家如此规模的公司，出了这么一档子事，加之裁定书所曝光的细节内容，不禁引起了网友们的热议。

首先是对于判决书中所提到的“数据恢复”内容，也就是“链家公司为恢复数据及重新构建财务系统共计花费人民币18万元”这句话。

有网友认为，根据如此描述来看，公司财务数据库大概率没有异地备份。

如果有备份的话，恢复系统只是“小时级”的体力活，不大可能需要18万。

这么看来，这家公司的IT管理太可怕了……

也有网友对判决的“18万”做这样的类比：

热议的第二个点，便是对于韩某的“操作手法”。

也就是裁定书中所提到的“通过执行rm、shred命令删除数据文件、擦除操作日志等，删除了财务数据及相关应用程序，致使公司财务系统无法登录”。

网友直呼这是“程序员犯低级错误”。

也有认为“数据管理员技术太糙”的。

更技术流一些的网友，抛出了自己的困惑：

连MAC都改了，不知道改IP和主机名？

一般是先改IP，再改主机名，最后改MAC。

但抛去本案件细节热议点，这起“删库”事件也再次将数据安全问题引入大众的视线。

“删库”事件频发，数据安全大于天

对于链家这起事件，网友认为非常的“可悲”，也道出了自己的困惑：

怎么能不定期备份数据呢？

然而，类似的事情还真的是时有发生。

例如去年微盟的事件，程序员凭一己之力，便让公司市值蒸发超10亿，更殃及了300万的商铺，使其瘫痪。

从2020年2月23日晚起，微盟服务器的崩溃时间便长达53-125小时。

而此次事件，是微盟遭到了人为恶意破坏，而此人恰恰正是自家员工——研发中心运维部核心运维人员贺某。

这位程序员于2020年2月24日被上海市宝山区公安局刑事拘留；8月26日，宝山区人民法院刑事判决书（一审）公布， 判处有期徒刑六年。

并且贺某还自供是酒后因生活不如意、无力偿还网贷等个人原因。

……

程序员“删库”事件频发，也给企业和个人敲响了警钟。

对于企业来说，“数据安全大于天”，在数字化时代的当下，如何做好数据备份，如何合理地让相关IT部门来管理数据，应当是引起企业重视的问题。

对于程序员群体，因个人情绪、生活等引发的问题，以如此极端的手段来发泄，赌上个人的未来走上犯罪道路，着实不值当。

也希望“删库跑路”这样的段子，永远只是个段子。

毕竟现实中每一次重演，不仅有企业和用户受损失，也有人要面临法律的制裁，甚至失去自由。

参考链接：

一审刑事判决书：
https://wenshu.court.gov.cn/website/wenshu/181107ANFZ0BXSK4/index.html?docId=20c2a1fb04404493a474aca8009ae56d

二审刑事裁定书：
https://wenshu.court.gov.cn/website/wenshu/181107ANFZ0BXSK4/index.html?docId=ca312e28689b498a8ac1aca8009ac7fc

相关讨论：
https://weibo.com/1642634100/JCd2MnsDh?type=comment
https://weibo.com/5140552811/JCdjSh7gv?type=comment#_rnd1610243959635