作者yueayase (scrya)
看板Tech_Job
標題Re: [新聞] 不爽沒拿到獎金!工程師程式植入「-」…害公司損4200萬
時間Sun Aug 27 16:09:00 2023
※ 引述《cjol (勤樸)》之銘言:
: 作者: opppoo123 (little_dd屬於言論自由況) 看板: Stock
: 標題: [新聞]
: 時間: Sat Aug 26 10:02:37 2023
: 原文標題:不爽沒拿到獎金!工程師程式植入「-」…害公司損4200萬台幣
: 原文連結:https://reurl.cc/QXzrEb
: 發布時間: 2023/08/26 05:51:00
: 社會中心/台北報導
: 原文內容:
: 全球前五大加密貨幣交易公司第2名工程師,因不滿公司未依約定發獎金,竟在離職前於交易及分析程式裡偷植入「負號」,甚至盜用老闆的帳密駭入程式,造成公司鉅額虧損。台北地院審結,2名工程師被依妨害電腦使用等罪,遭判刑1年4月徒刑、10月徒刑。
: 據了解,2名工程師是分別是軟體工程師及交易員,及負責軟體開發及各項重大系統安全維護,並於2018年9月、10月間任職期間,與公司其他成員共同研發代號「Zeus」的自動化交易系統程式後,投資策略卻連續出包,累積交易虧損高達約140萬美元(約4200萬台幣)。
: 一查發現,2020年5月初,2人因為不滿公司未依承諾發放獎金決定離職,為了報復公司,竟在離職前商議搞鬼,不僅在系統程式碼動手腳添加幾個「負號」,還冒用創辦人帳號駭入公司確認交易虧損狀況,幾天後又覆寫部分主程式加以竄改參,對2人提出告訴。
: 2名工程師到案後,坦承部分部分犯行,卻否認覆寫主程式功能,辯稱在程式碼改變參數,只會讓系統選擇「次佳組合」而非「最差組合」,此外本案也沒觸發系統預設的停損機制,因此公司的鉅額虧損不應全歸咎於他們。
: 台北法官審酌後,認為2人身為公司工程師卻不忠實執行職務,只因不滿公司未依承諾發放獎金心生不滿,濫用專業報復公司;考量2人無前科,依妨害電腦使用、偽造文書等罪,其中一人判1年4月徒刑,其中8月得易科罰金24萬元,另一人判刑10月、得易科罰金30萬元。全案可上訴。
: 心得/評論:
: 好可怕,讓我想到「三體」裡思想鋼印那一段內容,但本案因程式加了負號造成的虧損能求償嗎?
: 要怎麼證明原先的程式可以抓到那一段波段?
: 就算能抓到波段又怎麼證明你的操作方式能獲利?
: 而且損失還有分成
: 1.該賺沒有賺到
: 2.該躲沒有躲掉
: 3.該賺不僅沒賺到,還做錯方向大賠
: 我看4200萬是不是只能自己吞了?
https://reurl.cc/dDRGgq
看到這則新聞的判決書,我覺得有些地方很有趣
1. 公司內部的部分程式寫在判決書裡
(i) 將原始程式碼「x:x[1]」,無故變更為「x:-x[1]」,並於電磁紀錄上偽冒陳建榕之名義
推送變更後之程式而行使之,導致「reconciliation.py」程式將最差組合之「.json」檔
案與「.config」檔案誤認為最佳組合
(ii) 將「fitter_backup」程式覆寫入「/j/zeua/deply」路徑以變更原有之「fitter.exe」程
式,並命名為「fitter」,完成後再將「fitter_backup」程式刪除
(iii) 核與證人黃博泓於本院審理中證稱:「『reconciliation.py』程式最後一個階段,有一
行程式碼要選出最佳參數,它是有關排序的程式碼,所以這個程式碼就是要排序分數最高
的,被告在程序碼中加入一個負號
(iv) 1、弄死所有gluster file system;
2、~/git/Oracle/deploy/fltter_backup to
/j/zeus/deploy/fitter (both taipei and ibm);
3、Is/j/zeus/production_log/zeus_data/*/fitter/*.json| xargs-1{}-n 1
python3~/improve.py-f={}(only need taipei,ibm will
be rsynced every hour) ;
4、 rm-rf~/git/Oracle/deploy/fitter_backup;
5、rm -rf ~/improve.py」」
2. 觀諸被告2人於109年5月9日下午5時23分之LINE對話紀錄,被告陳育聖向被告許書軒表示
:「你剩下任務,請注意檔案的* 時間*」,並對被告許書軒為5點指令,包括:
(和1的(iv)一樣)
3. 證人黃博泓於110年12月3日偵訊及本院審理中證稱:我們最早只有發現大批的「.json」
檔的時間戳記都留在109年4月30日,我們覺得很可疑,因為這些都是不同時期建立的「
.json」檔,就是在備用資料庫裡的「.json」檔,但時間戳記卻都是109年4月30日,我們
就進行比對,發現這些都有問題,我們後來有查證,Linux作業系統是可以更改時間戳記
;就前述第3點程式的前段,就是叫出生產環境備份目錄中所有的「.json」檔,後段針對
這些檔案去執行「improve.py」,以此被告2人變更7百多個檔案,我們針對這個項目去找
我們電腦中以前另外存載的備份,才比對出37個遭被告變更的檔案等語
我有幾個疑問點:
1. 我不知道因為這個告訴,公司部份的程式架構也列在判決書裡
會不會造成以後有心人士知道怎麼對該公司的程式做手腳的問題
2. 這2人的line對話紀錄,居然沒有串通好滅證嗎?(至少直接把這些紀錄一起刪除)
還是說他們其實有刪除,但被警方扣押後,用某種方式還原?
3. 所以要證明他們做的有問題,還要另外找個工程師解釋code在幹嘛?
然後把資料的相對順序反向這點,用"-"來處理數值的確是一種簡易有效
又是很老梗的做法就是了...
更改這點看來不是一個高明的方式,因為有點經驗的人一定看的出來~
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.47.87.72 (臺灣)
※ 文章網址: https://webptt.com/m.aspx?n=bbs/Tech_Job/M.1693123742.A.242.html
1F:推 xonba : rm -rf * 08/27 16:10
2F:→ azaz12345 : 應該要直接第三方然後直接從記憶體著手,這樣比較 08/27 16:31
3F:→ azaz12345 : 高端 08/27 16:31
4F:推 furnaceh : 這些語法 法官看得懂也蠻厲害了的 08/27 16:54
應該不是法官看得懂,而是法官採信了證人的證詞
然後這種把數值改成負的,順序就會相反
大多數人應該也聽得懂
5F:→ Firstshadow : 這種判決書還蠻有趣的 08/27 17:06
※ 編輯: yueayase (114.47.87.72 臺灣), 08/27/2023 17:15:26
6F:→ faniour : 這種案件,法官會徵詢第三方專家的看法 08/27 17:20
7F:→ faniour : 像是相關領域公職機構的教授、研究員這類的 08/27 17:22
8F:推 wuyiulin : 誰會用Line記錄討論這個,我會笑死。 08/27 18:27
9F:推 wulouise : 正常來說外部人沒辦法接觸到這些系統吧 08/27 19:34
10F:推 Data000 : 刪掉Line紀錄? 08/27 20:13
11F:→ Data000 : 呵呵,那是你以為有刪吧 08/27 20:13
12F:→ loadingN : 妳都知道是老梗的做法了 有啥好怕的 08/27 21:51
13F:→ loadingN : 該怕的是公司這麼沒制度 去的人自己小心 08/27 21:52
14F:推 revise : 法官看得懂程式碼在幹嘛嗎 哈哈 08/28 11:16
15F:推 miname : Linux 都open source了,有啥好怕的? 08/28 16:01
16F:→ labbat : linux 的確open source了,可是沒有要求外部提供的 08/28 18:46
17F:→ labbat : module要跟著open source 08/28 18:46
18F:推 Leo930057 : 公司如果有Code Review/Test的機制,應該就不會有這 08/31 21:44
19F:→ Leo930057 : 種事了吧= = 08/31 21:44