微盟“删库跑路”程序员被判6年,如何防范?
科技荟萃 2020-09-21
导读:今年8 月 ,微盟集团(2013.HK)发布 2020 年上半年财报。其中,上半年营收 9.57 亿元,同比增长 45.7%;净亏损为 5.46 亿元,其中包含了香港财务报告准则下可换股债券确认的金融负债公平值变动引起的人民币 4.96 亿元亏损及 SaaS 破坏事件的赔付计划带来的预计赔付支出的损益影响人民币 0.87 亿元。公司经调整净利 5230 万元,同比增长 77.4%。
微盟“删库”主角贺某近期被判 6 年有期徒刑,贺某透露是酒后因生活不如意、无力偿还网贷等个人原因导致作出“删库”行为。
上海市宝山区人民法院刑事判决书(一审)(8月26日宣判)
2020年2月23日18时56分许,贺某酒后因生活不如意、无力偿还网贷等个人原因,在其暂住地上海市宝山区逸仙路XXX弄XXX号XXX室,通过电脑连接公司VPN、登录公司服务器后执行删除任务,将微盟服务器内数据全部删除,导致微盟自2020年2月23日19时起瘫痪,300余万用户(其中付费用户7万余户)无法正常使用该公司 SaaS 产品,经抢修于3月3日9时恢复运营(故障时间 8 天 14 个小时)。
截至2020年4月30日,造成微盟公司支付恢复数据服务费、商户赔付费及员工加班报酬等经济损失共计人民币2260余万元。
2020年2月24日,贺某在暂住地被公安人员抓获,到案后如实供述了上述犯罪事实。
法院裁定
上海市宝山区人民法院认为,贺某违反国家规定,删除计算机信息系统中存储的数据,造成特别严重的后果,其行为已构成破坏计算机信息系统罪,应当依法追究刑事责任。公诉机关指控的犯罪事实清楚,证据确实充分,罪名成立。
贺某如实供述自己的罪行,认罪认罚,可依法从轻处罚。辩护人的相关意见本院予以采纳。依照《中华人民共和国刑法》第二百八十六条第二款、第六十七条第三款、第六十四条、《中华人民共和国刑事诉讼法》第十五条之规定,判决如下:
一、贺某犯破坏计算机信息系统罪,判处有期徒刑六年。(刑期从判决执行之日起计算。判决执行以前先行羁押的,羁押一日折抵刑期一日,即自2020年2月24日起至2026年2月23日止。)
二、作案工具笔记本电脑一台依法没收。
此前微盟创始人对“程序员删库”的回应
当初被他删除的数据体量达到了数百TB,甚至下了死手删除了备份数据文件,导致花了九天才恢复所有数据。
微盟市值一度蒸发10亿元,截至2020年4月30日,造成微盟公司支付恢复数据服务费、商户赔付费及员工加班报酬等经济损失共计人民币2260余万元。预计这些经济损失,公司承担三分之二,管理层承担三分之一。
近年来,运维人员正给企业数据带来了防不胜防的隐患,然而企业在数据安全建设中往往最容易忽视这一环节,存在以下几个常见问题:
1. 数据库账号密码管理缺乏严格有效的访问控制机制;
2. DBA等高权限得不到管控,易发生越权操作行为;
3. 误操作数据后无法恢复,敏感数据得不到有效保护;
4. 数据库内部操作无法审计,导致数据泄露后无法准确溯源。
对于内部威胁,企业需要技术与管理双层把控。首先在管理层面上,企业文化先行,关怀员工,关注员工身心健康,普及相关事件的危险性及犯罪性,运维管理制度要实行双权甚至三权分立,不能一人独管企业核心资产运维。
企业如果能在特权身份安全上做到以下六点,可有效防范此类事故的再次发生:
1. 持续收集并管理特权账户;
2. 多因素认证;
3. 访问控制(实时监控、限时授权运维、高危命令处理);
4. 用户行为分析(风险动态感知);
5. 实时监控运维动作并通知;
6. 全维度的审计。
要杜绝这类恶意操作事件,必须在运维过程中增强管控,加强对特权账号的管控、加强对访问权限的控制、加强对高危命令的复核。
从技术方面来看,“防删库”要从集成多因素准入控制、敏感数据资产分级分类、危险误操作审批流程、数据动态脱敏和精准审计五个方面来解决运维环节的数据安全威胁。
企业保护核心数据,避免删库惨案一再发生,就必须让运维更可控、更安全。具体工作有以下三个重点:
1. 针对重点服务器(包括核心业务、核心数据等),可以参考双人授权的”金库模式”,通过动态工单授权申请审批机制和会话实时控制等方法,确保重点服务器任何时刻不能被单个账户直接操作。
2. 针对普通服务器,做到事前权限预分配,通过细粒度的权限控制、命令管控、多重身份认证等实现事中访问控制,避免权限分配不合理导致误操作、越权操作带来的运维安全事故。
3. 运维过程需要全量审计,通过运维审计提供详细的审计日志给公安机关作为权威证据,锁定恶意操作者,避免事后无法追查具体的操作人员及操作过程。
针对“删库跑路”类事件,提出两个解决思路供读者参考:
其一,对数据库账户包括DBA高权限账户的数据库运维行为进行有效管理,做到对批量删除数据等高风险操作在事中的有效防控,让删库行为无从下手;
其二,建议制定并严格执行标准的工单审批流程,以有效规范运维操作行为;就算运维人员(DBA高权限账户)真的需要“执行批量删除”这种大动作,也必须通过申请并等待审批。
最后,预防微盟删库事件还有一个关键措施就是加强演练,企业要制定应急演练预案,模拟不同故障场景定期演练,方能保障业务的持续性。