华夏银行技术处长给系统植入病毒 以测试 BUG 的名义上千次盗取资金
图片来源:摄图网
近期,记者注意到一起程序员利用银行职务之便,将自己写的 " 计算机病毒程序 " 植入总行服务器。在 1 年多时间,该程序员利用漏洞多次跨行 ATM 机取款,涉及金额高达 700 余万元的案件。
案发后,该程序员一再坚称,他只是在未报备的情况下违规进行了银行漏洞测试。究竟是程序员 " 单纯 " 的测试 BUG,还是秘密窃取银行财物呢?
被怀疑后谎称是做测试
43 岁的覃其胜曾是华夏银行 科技 开发中心开发四室经理,拥有让人羡慕的工作和家庭;但是他口中所谓的测试系统漏洞,却掩盖不住秘密窃取银行财物的事实。
在北京市朝阳区环球 金融 中心华夏银行科技开发中心内,覃其胜偷用他人账户,进入华夏银行核心系统植入其编写的 " 计算机病毒程序 "。该 " 计算机病毒程序 " 可以让他控制的华夏银行卡夜间跨行 ATM 机取款不计入该卡账户。通过漏洞,覃其胜在 2016 年 11 月至 2018 年 1 月之间,通过 1000 多次跨行 ATM 机取款,将银行资金共计人民币 717.9 万元转入其控制的银行账户。
而这一年多的时间,覃其胜一直在所谓的测试系统漏洞。测试中涉及的资金本该设立专门账户保管,但是覃其胜直接将资金取出后自用,直到一年后,华夏银行发现问题。
华夏银行分管信息技术部、开发中心的首席信息官王某称,初步核查发现,有人通过木马程序在生产系统中通过 ATM 机非法盗取银行资金,涉案 700 余万元。案件发生地正是北京市朝阳区环球金融中心华夏银行科技开发中心。
华夏银行发现问题后找覃其胜谈话,覃其胜谎称在测试是否存在漏洞。覃其胜说,在系统里放了一个测试程序,通过该程序,他实际操作用银行卡跨行取现。
王某称,按照华夏银行规定,测试有可能会在生产环境里做,但需要有相应的报告、专门的流程;由专门的部门来做,不会由覃其胜来做。" 实际测试会根据不同的要求来确定取现金额,覃其胜的行为已经严重违反规定,不符合测试的规范要求。"
到这个时候,覃其胜仍坚持表示,这事本身比较复杂,工作量也大,认为上报了银行也不会关注,就没有汇报。
覃其胜称,他从 2016 年 11 月开始取款,一直到 2017 年 10 月;取款会有取款成功也计入到账户的时候,所以取款数目不定,有时每日取 5000 元、有时取 2 万元;一共取了 1000 多笔,共有 719.2 万元。
被判处有期徒刑十年六个月
北京市朝阳区人民法院认为,首先,覃其胜偷用他人账户进入华夏银行的核心系统植入漏洞、修改用户信息后,使其控制的特定银行卡夜间跨行 ATM 机取款不计入该卡账户;将取得的钱款用于个人理财、归还债务等,其行为系秘密窃取华夏银行的财物。
其次,被告人覃其胜没有在生产环境进入核心系统的职权。被告人覃其胜负有对核心系统功能和优化升级进行设计、开发、测试等职权,但覃其胜的职务没有使其直接在生产环境下进入核心系统的便利。
最后,覃其胜对银行资金没有管理的职权。覃其胜是被害单位的技术人员,保管银行资金不在其职权范围内;即使在测试中涉及资金问题,按照被害单位的管理要求也应该设立专门账户保管,而覃其胜直接将涉案资金取出后自用。
值得注意的是,覃其胜已退赔华夏银行该事件中的所有 经济 损失。
综上,北京市朝阳区人民法院认为覃其胜盗窃公司财物,数额特别巨大,其行为已构成盗窃罪,依法应予惩处。法院判决覃其胜犯盗窃罪,判处有期徒刑十年六个月,罚金人民币一万一千元,剥夺政治权利二年。
一审宣判后,覃其胜不服判决提出上诉,称其只是在未报备的情况下违规进行了漏洞测试,通过测试也实际发现了系统漏洞,其没有非法占有的目的,不构成盗窃罪。北京市第三中级人民法院认为一审事实清楚,量刑适当,裁定驳回上诉维持原判。
来源:每日经济新闻