Re: [新聞] 不爽沒拿到獎金！工程師程式植入「-」…害公司損4200萬台幣

※ 引述《cjol (勤樸)》之銘言： : 作者: opppoo123 (little_dd屬於言論自由況) 看板: Stock : 標題: [新聞] : 時間: Sat Aug 26 10:02:37 2023 : 原文標題：不爽沒拿到獎金！工程師程式植入「-」…害公司損4200萬台幣 : 原文連結：https://reurl.cc/QXzrEb : 發布時間： 2023/08/26 05:51:00 : 社會中心／台北報導 : 原文內容： : 全球前五大加密貨幣交易公司第2名工程師，因不滿公司未依約定發獎金，竟在離職前於交易及分析程式裡偷植入「負號」，甚至盜用老闆的帳密駭入程式，造成公司鉅額虧損。台北地院審結，2名工程師被依妨害電腦使用等罪，遭判刑1年4月徒刑、10月徒刑。 : 據了解，2名工程師是分別是軟體工程師及交易員，及負責軟體開發及各項重大系統安全維護，並於2018年9月、10月間任職期間，與公司其他成員共同研發代號「Zeus」的自動化交易系統程式後，投資策略卻連續出包，累積交易虧損高達約140萬美元（約4200萬台幣）。 : 一查發現，2020年5月初，2人因為不滿公司未依承諾發放獎金決定離職，為了報復公司，竟在離職前商議搞鬼，不僅在系統程式碼動手腳添加幾個「負號」，還冒用創辦人帳號駭入公司確認交易虧損狀況，幾天後又覆寫部分主程式加以竄改參，對2人提出告訴。 : 2名工程師到案後，坦承部分部分犯行，卻否認覆寫主程式功能，辯稱在程式碼改變參數，只會讓系統選擇「次佳組合」而非「最差組合」，此外本案也沒觸發系統預設的停損機制，因此公司的鉅額虧損不應全歸咎於他們。 : 台北法官審酌後，認為2人身為公司工程師卻不忠實執行職務，只因不滿公司未依承諾發放獎金心生不滿，濫用專業報復公司；考量2人無前科，依妨害電腦使用、偽造文書等罪，其中一人判1年4月徒刑，其中8月得易科罰金24萬元，另一人判刑10月、得易科罰金30萬元。全案可上訴。 : 心得/評論： : 好可怕，讓我想到「三體」裡思想鋼印那一段內容，但本案因程式加了負號造成的虧損能求償嗎？ : 要怎麼證明原先的程式可以抓到那一段波段？ : 就算能抓到波段又怎麼證明你的操作方式能獲利？ : 而且損失還有分成 : 1.該賺沒有賺到 : 2.該躲沒有躲掉 : 3.該賺不僅沒賺到，還做錯方向大賠 : 我看4200萬是不是只能自己吞了？ https://reurl.cc/dDRGgq 看到這則新聞的判決書，我覺得有些地方很有趣 1. 公司內部的部分程式寫在判決書裡 (i) 將原始程式碼「x:x[1]」，無故變更為「x:-x[1]」，並於電磁紀錄上偽冒陳建榕之名義 推送變更後之程式而行使之，導致「reconciliation.py」程式將最差組合之「.json」檔 案與「.config」檔案誤認為最佳組合 (ii) 將「fitter_backup」程式覆寫入「/j/zeua/deply」路徑以變更原有之「fitter.exe」程 式，並命名為「fitter」，完成後再將「fitter_backup」程式刪除 (iii) 核與證人黃博泓於本院審理中證稱：「『reconciliation.py』程式最後一個階段，有一 行程式碼要選出最佳參數，它是有關排序的程式碼，所以這個程式碼就是要排序分數最高 的，被告在程序碼中加入一個負號 (iv) 　1、弄死所有gluster file system； 2、～/git/Oracle/deploy/fltter_backup to /j/zeus/deploy/fitter (both taipei and ibm)； 　　 3、Is/j/zeus/production_log/zeus_data/*/fitter/*.json| xargs-1{}-n 1 python3~/improve.py-f={}(only need taipei,ibm will be rsynced every hour) ； 　　 4、 rm-rf～/git/Oracle/deploy/fitter_backup； 　　 5、rm -rf ～/improve.py」」 2. 觀諸被告2人於109年5月9日下午5時23分之LINE對話紀錄，被告陳育聖向被告許書軒表示 ：「你剩下任務，請注意檔案的* 時間*」，並對被告許書軒為5點指令，包括： (和1的(iv)一樣) 3. 證人黃博泓於110年12月3日偵訊及本院審理中證稱：我們最早只有發現大批的「.json」 檔的時間戳記都留在109年4月30日，我們覺得很可疑，因為這些都是不同時期建立的「 .json」檔，就是在備用資料庫裡的「.json」檔，但時間戳記卻都是109年4月30日，我們 就進行比對，發現這些都有問題，我們後來有查證，Linux作業系統是可以更改時間戳記 ；就前述第3點程式的前段，就是叫出生產環境備份目錄中所有的「.json」檔，後段針對 這些檔案去執行「improve.py」，以此被告2人變更7百多個檔案，我們針對這個項目去找 我們電腦中以前另外存載的備份，才比對出37個遭被告變更的檔案等語 我有幾個疑問點: 1. 我不知道因為這個告訴，公司部份的程式架構也列在判決書裡 會不會造成以後有心人士知道怎麼對該公司的程式做手腳的問題 2. 這2人的line對話紀錄，居然沒有串通好滅證嗎?(至少直接把這些紀錄一起刪除) 還是說他們其實有刪除，但被警方扣押後，用某種方式還原? 3. 所以要證明他們做的有問題，還要另外找個工程師解釋code在幹嘛? 然後把資料的相對順序反向這點，用"-"來處理數值的確是一種簡易有效 又是很老梗的做法就是了... 更改這點看來不是一個高明的方式，因為有點經驗的人一定看的出來~ -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.47.87.72 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Tech_Job/M.1693123742.A.242.html