綜合自:中國裁判文書網、中國基金報
互聯網大廠內部驚現“黑客帝國”!
百度一名92年的程序員,2015年任職百度時代網絡技術(北京)有限公司,從事研發類的工作,爲了“掙外快”,越權幹起了業務審覈部門的活。
該名程序員通過編寫腳本、篡改數據等方式,連續穿過公司內部兩道“防線”,在半年左右違規通過了735個媒體網站賬號加入“百度聯盟”的申請,使得公司374萬元廣告分成被蠶食。
其中,部分走“綠燈”通過的網站內容,甚至涉及到賭博、彩票等業務。
根據文書內容顯示,該程序員陳某睿所在部門爲展示廣告平臺部的union團隊,這個部門的工作內容和範圍爲負責百度聯盟流量端的系統開發和維護,權限範圍是百度聯盟流量端系統的功能開發以及日常上線與維護,而陳某睿負責系統的開發與維護工作。
2017年8月,微信上一名自稱劉某的男子聯繫到了陳某睿,介紹了一門“生意”。
這門“生意”,是讓陳某睿快速審覈網站是否能有資質承接百度聯盟廣告,但被後者拒絕了。
劉某等人的“圍獵”並未結束,沒過多久,劉某從哈爾濱到了北京,在對外經貿大學附近一個飯館約陳某睿喫飯,說還是想做審覈網站的事情,需要使用百度在職員工的權限,幫助快速通過審覈網站。
這一次,陳某睿動搖了。他跟劉某說先試試,審覈每個網站300元,共審覈30個,要了劉某9000元。
根據公開資料顯示,百度聯盟隸屬於百度,包括百青藤、搜索推廣合作、Hao123推廣合作、聚屏推廣合作等業務,日均有上百億次的廣告展現,合作伙伴數量近百萬,服務的廣告主數量逾80萬家。目前已與終端廠商、運營商、移動APP、小程序、網站、軟件等多類夥伴達成緊密合作,涉及移動、PC全域流量。合作伙伴年分成超200億。
一般來說,百度公司進行網站審覈的正常方式是,由業務審覈管理部依據聯盟業務審覈標準,對百度聯盟風險防控平臺待審覈聯盟潛在客戶進行審覈。
聯盟的網站需要通過兩道審覈,方可上線。
正常流程下,客戶提交網站先過機器審覈策略,機器審覈策略過濾掉問題網站(如包含無ICP備案,網址打不開等情況的),將沒有觸犯機器審覈策略的網站推送至人工待審列表中,最終上線需要經過人工審覈。
理論上,只有通過前期審覈後,這些合作媒體後續才能通過百度系統投放線上百度接入的廣告,從而獲得百度公司的廣告分成。
但陳某睿屬於程序開發員,負責寫程序以及網站,並不屬於公司的審覈部門,沒有權限審覈網站是否有資質承接百度聯盟廣告。
於是,陳某睿動起了歪心思。
陳某睿在公司電腦上使用CURL命令發送給公司的服務器,調用一個接口,這個接口可以自動審覈網站,發送的CURL命令包括需要快速通過審覈的網站,然後發送的網站就通過了承接百度聯盟廣告資質的審覈。
之後,他的膽子越來越大,又在公司電腦內寫了一個腳本,可以通過將網站的用戶名和密碼輸入在裏面,使其想要通過審覈的網站使用這個腳本快速地寫入其調用的自動審覈的網站接口內,然後進行批量地使用CURL命令,向服務器發出指令,從而將其發送的網站通過百度廣告聯盟的資質審覈。
從2017年9月至2018年3月期間,陳某睿通過越權審覈,將他人提供的數百個申請加入“百度聯盟”的媒體網站賬號的審覈狀態修改爲“審覈通過”,並據此收受23.59萬元。
2018年2月27日,百度公司相關部門發現在風控平臺審覈媒體時,部分媒體無法進行正常審覈操作。
經排查發現,這些媒體在UNION平臺中是審覈通過狀態,但這些媒體在風控平臺和UNION平臺的審覈狀態不一致,可能存在人工調用審覈接口使這些媒體繞過業審,有異常審覈通過的情況存在。
進一步排查分析,發現疑似存在陳某睿在相關機器上進行了工作職責不相符合的操作,對部分沒有經過業審審覈的媒體,進行了“媒體審覈通過”的操作,異常審覈通過的媒體有735個,分成金額374.51萬元。
正是由於陳某睿開的“綠燈”,百度的蛋糕被這些不符合規定的平臺蠶食。
2018年3月2日,百度公司相關部門將上述情況以電子郵件形式發送給百度時代網絡技術(北京)有限公司職業道德委員會。
公司得知此事後,於2018年3月5日指派相關工作人員找到陳某睿商談此事,後者當場就承認了通過CURL命令調用流量端系統的媒體審覈接口,以及通過編寫腳本批量操作的方式調用了流量端系統的媒體審覈接口,從而篡改數據,使得部分媒體獲利的情況。
2018年3月13日,百度時代網絡技術(北京)有限公司聘請第三方的北京神州綠盟科技有限公司,就百度公司媒體網站資質審覈服務器出現異常情況進行應急處理,對相關服務器進行了檢查和恢復數據,分析結論爲用戶名爲chenborui的攻擊者利用已有服務器做跳板,對媒體審覈接口進行越權操作,在較長時間段裏向媒體審覈服務器中批量審批媒體域名上千條,導致媒體域名違規過審。
2018年3月11日,警方接到百度公司報案,後於同年4月20日將前往公司接受約談的陳某睿傳喚到案。
北京市海淀區人民法院一審認爲,陳某睿違反國家規定,對計算機信息系統中存儲、處理的數據進行修改,後果特別嚴重,其行爲已構成破壞計算機信息系統罪,應予懲處。
法院指出,陳某睿利用其工作便利,在沒有得到單位授權,也不是基於對單位計算機信息系統進行研發、維護、調試等工作需要的情況下,而是爲了謀取其個人私利,超越其工作權限,採用技術手段擅自調用媒體接口,違規使大量網站通過媒體資質審覈,將待審覈的數據變更爲審覈通過的數據,系違規修改百度時代網絡技術(北京)有限公司計算機信息系統內所存儲、處理的相應分類數據的範圍,因此該行爲符合破壞計算機信息系統罪中對破壞行爲的定義。
鑑於被告人陳某睿犯罪以後主動投案,到案後能如實供述其所犯罪行,系自首,且積極退繳全部違法所得,並賠償了所在單位因本案而支出的信息技術服務費,亦取得了所在單位的諒解,有較好的悔罪表現,故本院對其依法減輕處罰。
最終,陳某睿獲刑一年九個月。
本文分享自微信公衆號 - 架構真經(gentoo666)。
如有侵權,請聯繫 [email protected] 刪除。
本文參與“OSC源創計劃”,歡迎正在閱讀的你也加入,一起分享。