正文 

当前位置: 首页 > 知识 > java教程

华为员工利用bug越权访问机密卖给第三方,获利1.6万元,被判有期徒刑一年

CSDN程序人生 CSDN程序人生     2023-03-09     284

关键词:

在数字化浪潮中,企业、员工的管理工作也朝着智能化、云化等方向发展。对于上班族来说,入职第一天基本基本穿梭在各个权限的申请与开放之中。

由于各个部门的分工不同,所以每个岗位都会配有相应级别的系统权限,不同员工的系统权限也有所差异。对于不属于自己岗位职责范围内的事,员工通常没有参与权和知情权,这就要求企业对员工的系统权限进行严格管理。

2022年2月,中国裁决文书网发布的一则刑事宣判便与此相关:在华为任职的易某在调离岗位7年后,还没有将自己之前拥有的相关系统权限清除。不仅如此,他还在此期间多次利用权限查看系统数据,甚至利用发现的漏洞绕过权限控制,多次向第三方公司提供系统数据,以此获利。

那具体案件经过是怎样的呢?笔者翻阅了此案的裁定书,带着大家一起看一下这起案件。

多次通过公司邮箱发送数据给竞标客户

据裁定书显示,易某于2006年12月至2018年3月期间在华为技术有限公司(以下简称华为公司)任职。因工作需要,易某拥有登录华为公司ERP系统的权限,可以查看工作范围内相关数据信息。

图源:截图自中国裁判文书网

华为公司禁止员工私自在ERP系统查看、下载非工作范围内的电子数据信息。

2010年12月,易某从华为公司线缆物控部调任后,未按华为公司的要求将ERP账户线缆类编码物料价格的查询权限清理,至2017年底,易某违反规定多次通过越权查询、借用同事账号登录的方式在ERP系统内获取线缆物料的价格信息。

2017年以后,易某发现ERP系统中的POL采购小程序存在漏洞,能通过特定操作绕过权限控制查看系统数据,便以此方式获取线缆物料的价格信息。

按照正常的软件使用流程,员工发现系统漏洞后本应该向上反馈,但易某却动起了歪心思。

易某将非法获取的价格数据以发短信、打电话、发电子邮件的方式告知深圳市金信诺高新技术股份有限公司(华为技术有限公司的供应商,以下简称金信诺公司),从而帮助金信诺公司在华为公司的招标项目中提高中标率。

经查,易某在2016年12月27日至2018年2月28日期间,多次通过邮箱“yihxxx@huawei.com”将华为公司多个供应商共1183个(剔除重复部分共918个)线缆类编码物料的采购价格发送给金信诺公司。

在2012年至2017年6月30日期间,易某收受金信诺公司购物卡共计7000元、篮球鞋5双(价值共计人民币16437.6元)。

另查明,案发后,华为公司出具谅解书,表示对被告人易某侵害华为公司的行为予以谅解。

易某行为构成非法获取计算机信息系统数据罪

对于易某的行为,一审法院原判认为其违反国家规定,侵入国家事务、国防建设、尖端科学技术领域以外的计算机信息系统或采用其他技术手段,获取计算机信息系统中存储、处理或者传输的数据,情节严重,其行为已构成非法获取计算机信息系统数据罪。公诉机关指控的罪名成立。易某归案后如实供述,当庭认罪认罚,取得被害单位的谅解,系初犯,原审予以从轻处罚。

依照《中华人民共和国刑法》第二百八十五条第二款、第五十二条、第五十三条第一款、第六十四条、第六十七条第三款之规定,判决:

一、易某犯非法获取计算机信息系统数据罪,判处有期徒刑一年,并处罚金人民币二万元;

二、继续向易某追缴违法所得共计人民币23437.6元,依法予以没收,上缴国库。

不服一审判决,易某提起上诉

对于一审判决,易某提起上诉,请求撤销原审判决,并依法改判为免于刑事处罚。

主要理由为:

1.其行为是否构成非法获取计算机信息系统罪存有争议,应疑罪从无,判处其免予刑事处罚。首先其主观上没有犯罪故意;其次其违规获取的仅是计算机系统中储存的设备材料历史价格的电子信息,并不是本罪法条所规定的系统数据。

2.其并未采用技术手段非法侵入华为公司的信息系统,其实质为利用工作便利、权限及公司小程序的漏洞获取相关信息,且并未给华为公司造成实际损失。

3.其系初犯、偶犯,犯罪情节较为轻微,未造成恶劣的社会影响或重大损失。

4.华为公司出具了谅解书,依法应当对其从轻处理,但原审未考虑该重要情节。

其辩护人的意见为:

1.本案上诉人行为实则更符合侵犯商业秘密罪的构成,但基于其行为轻微,尚不足以构成侵犯商业秘密罪,疑罪从无,判处免于刑事处罚更适宜。

2.上诉人并未采用技术手段非法侵入华为公司信息系统,且并未给华为公司造成实际的损失。

3.上诉人系初犯、偶犯,行为情节比较轻微,其对错误行为已进行深刻反省。

4.华为公司混乱粗放的管理制度,以及ERP系统中POL采购小程序的缺陷,使得上诉人犯下错误,也负有一定责任。

5.华为公司已出具对上诉人的谅解书。

公司谅解并不等于无罪

对于易某的上诉,二审法院做出了终审裁定。

关于易某的行为是否构成非法获取计算机信息系统数据罪的问题,易某本人认为存有争议,其辩护人认为易某的行为更符合侵犯商业秘密罪的构成。

经查,根据最高人民检察院公布的第九批指导性案例(检例第36号-卫梦龙、龚旭、薛东东非法获取计算机信息系统数据案),非法获取计算机信息系统数据罪中的“侵入”,是指违背被害人意愿、非法进入计算机信息系统的行为,其表现形式既包括采用技术手段破坏系统防护进入计算机信息系统,也包括未取得被害人授权擅自进入计算机系统,还包括超出被害人授权范围进入计算机信息系统。

易某从华为公司线缆物控部调任后,按照公司规定,其已不具有在ERP系统查看相关电子数据信息的权利,其超出授权范围登陆该系统,并利用系统中POL采购小程序存在的漏洞,获取线缆物料价格信息的行为,属于侵入计算机信息系统的行为。易某非法获取计算机信息系统数据,违法所得超过人民币5000元,属于情节严重,已经构成非法获取计算机信息系统数据罪。其本人及辩护人的相关意见不成立,二审法院不予采纳。

二审法院认为,易某在一审阶段认罪认罚,且华为公司出具了谅解书,一审判决已对其从轻处罚,其上诉请求再予以从轻处罚缺乏事实和法律依据,法院不予采纳。

综上,原审判决认定事实清楚,证据确实充分,定罪准确,量刑适当,审判程序合法。依照《中华人民共和国刑事诉讼法》第二百三十六条第一款第(一)项之规定,裁定如下:

驳回上诉,维持原判。

利用职务之便的犯罪屡见不鲜

公司赋予员工权限的本意是为了方便办公,但很多人却利用职务之便为自己“谋福利”。在过去一年中,诸如此类的案件就时有发生:

  • 去年2月,百度一研发工程师利用职务之便,超越权限,通过篡改数据、编写脚本等方式,违规通过了735个媒体网站账号加入“百度联盟”的申请,收受他人给予共23万余元,致使公司374万元广告分成遭到损害。最终,陈某以犯破坏计算机信息系统罪,被判处有期徒刑一年九个月,并没收所有违法所得。

  • 今年3月,苹果公司前员工Dhirendra Prasad被指控在职期间利用职务之便,在多项采购计划中存在欺瞒行为,如收取回扣、盗窃设备和洗钱等,让苹果损失超1000万美元。根据美国的法律,Dhirendra Prasad将面临最高20年的刑期。

在这些利用公司权限和职务之便满足一己私利的案件中,当事人最后都免不了牢狱之灾。这也算是给公司和员工提了个醒:企业在赋予员工权限时也要加强监管,避免出现越界、收回不及时等情况;员工在拥有相关权限时也要自我约束,为了眼前的利益而毁了自己的人生实在是得不偿失!

参考链接:https://wenshu.court.gov.cn/website/wenshu/181107ANFZ0BXSK4/index.html

https安全证书访问连接实践配置(代码片段)

...题①.网络安全问题-数据机密性问题传输的数据可能会被第三方随时都能看到②.网络安全问题-数据完整性问题传输的数据不能随意让任何人进行修改③.网络安全问题-身份验证问题第一次通讯时,需要确认通讯双方的身份正确网... 查看详情

一次水平越权漏洞的利用

本文记录了一次水平越权的全过程,大致发生了如下:修改post参数,导致越权查看和删除;修改路径(REST风格参数),导致越权修改;修改cookie字段,绕过登录实现未授权访问;越权编辑植入xssPayload,获取完整cookie。好了,开... 查看详情

越权漏洞(代码片段)

...在纰漏,可以让攻击者获得低权限用户账户后,利用一些方式绕过权限检查,可以访问或者操作其他用户或者更高权限,而越权漏洞是属于业务性漏洞,困难在于这类漏洞并不是代码本身存在问题,我们利... 查看详情

华为实习记录第三天

今天虽然也是培训了,但是也没有仔细听什么。主要讲讲我们工作中可能遇到的问题或者在遇到困难时怎样寻求帮助。第一就是要沉得住气,就是有些员工的岗位和自己所学可能不是很匹配,但是你要慢慢的学习去沉得住气,每... 查看详情

极客日报:90后字节跳动员工内幕交易获利近5.5万,被罚50万;微信上线“小借条”功能;谷歌推出全新漏洞悬赏平台

...能90后字节跳动员工内幕交易获利近5.5万,被罚50万元华为造车高层出现人事变动,原手机团队全面介入拼多多前法人孙沁调任,负责偏远省份的社区团购业务三七互娱回应外包员工猝死抖音宣布其特效向企业客户开... 查看详情

不论为何,你都不该把自己的24小时全部卖给工作

在硅谷、华尔街、伦敦和香港的很多企业中,员工工作超时屡见不鲜。管理者压榨下属成为常态,他们在节假日联系员工,快下班时临时安排工作。为了满足上级要求,员工不得不早出晚归、熬夜加班,周末也不得休息,必须全... 查看详情

极客日报:华为拿百亿资金给员工分红,每股1.58元;苹果将推出m2芯片入门级macbookpro;flutter2.10发布

...骚扰,Meta紧急推出“个人结界”功能苹果希望对使用第三方支付的荷兰应用程序收取27%的佣金谷歌推出在线计算器,没有预装计算器应用的iPad也能用Flutter2.10正式发布,Windows平台正式版上线Dart2.16发布国内要闻超12万... 查看详情

减少企业员工存在的违规行为是必要的

企业中存在一些现象,员工上班时间不好好工作,做一些工作以外的事情,影响了工作效率,可能会带动身边的同事一起不工作,这不是一个好现象。员工在电脑上经常上网看一些娱乐相关的东西,影响自己和身边的同事工作。... 查看详情

横向越权测试—安全漏洞

1.What——什么是横向越权?横向越权:横向越权指的是攻击者尝试访问与他拥有相同权限的用户的资源 纵向越权:纵向越权指的是一个低级别攻击者尝试访问高级别用户的资源 例:用户A无法访问到北京区域的用户... 查看详情

横向越权与纵向越权

横向越权与纵向越权  横向越权横向越权指的是攻击者尝试访问与他拥有相同权限的用户的资源 例子:用户忘记密码操作!1、通过手机号,验证码等信息验证身份。2、跳转修改密码页面3、输入新密码4、提交修改密... 查看详情

华为s5700系列交换机配置通过流策略实现vlan间三层隔离

组网图形图1 配置通过流策略实现VLAN间三层隔离组网图组网需求如图一所示,为了通信的安全性,某公司将访客、员工、服务器分别划分到VLAN10、VLAN20、VLAN30中。公司希望:员工、服务器主机、访客均能访问Internet。访客只... 查看详情

苹果前员工承认窃取商业机密,或面临10年刑期25万美元罚款(代码片段)

整理| AI科技大本营据外媒报道,苹果前员工张晓浪(XiaolangZhang)承认了一项窃取商业机密的指控。根据美国法律,盗窃商业机密的最高刑期为10年和可能面临25万美元的罚款。据法庭文件显示,具体量刑将于1... 查看详情

https原理及实践

...加密是至关重要的,否则所有传输的数据都是可以随时被第三方看到,完全没有机密性可言。数据机密性解决问题思路利用算法为了保证数据的机密性,首先可以采用的方法就是将数据通过相应算法,转换为其它的数据信息,然... 查看详情

企业该如何让公司机密不泄露

由于企业信息的深入开展,使得计算机成为员工上班的必备工具。相应地,企业员工在上班时间形成的劳动成果、无形资产,甚至商业机密信息也大都存储在公司的电脑上。这使得,一些员工可以轻易通过一些USB存储设备,如U... 查看详情

2021年owasptop10

...在纰漏,使得攻击者在获得低权限用户账户后,利用一些方式绕过权限检查,访问或者操作其他用户或者更高权限。原因:越权漏洞的成因主要是因为开发人员在对数据进行增、删、改、查询时对客户端请求的数... 查看详情

企业为何选择加密软件红线隐私保护系统

...份绵薄之力。企业机密数据文件面临泄露的挑战问题点1.员工上网泄密:员工利用QQ、MSM、Email等网络传输工具随意将公司内部重要文件数据外发。2 查看详情

华为od机试2023最新新员工座位(c++)

文章目录题目描述输入描述输出描述用例题目解析C++题目描述工位由序列F1,F2…Fn组成,Fi值为0、1或2。其中0代表空置,1代表有人,2代表障碍物。1、某一空位的友好度为左右连续老员工数之和,2、为方便新员工学习求助,优先... 查看详情

针对功能权限(url访问)如何避免越权访问

你可以用request获得之前的页面路径:Request.getHeader("Referer");然后你可以判断一下,这个是字符串类型的。如果是需要登录的,你可以从session中获取登录信息,然后判断你可以通过上一个页面传参,本页面判断,如果不匹配就处... 查看详情