編寫病毒程序取款700餘萬，華夏銀行一技術處長被捕受審

編輯 | 小智整理

從 2016 年 11 月到 2018 年 1 月，一年多時間利用職務便利，在華夏銀行總行核心系統內植入計算機病毒程序，使跨行 ATM 機取款交易不能計入賬戶，之後成功取款 717.9 萬元非法佔為己有。10 月 10 日，這位華夏銀行技術處長在朝陽區人民法院受審。

案情回溯

根據檢方指控，華夏銀行三室處長覃某將其編寫的「計算機病毒程序」植入華夏銀行總行核心系統應用伺服器，並通過該計算機病毒程序使其跨行 ATM 機取款的交易不能計入賬戶，自 2016 年 11 月至 2018 年 1 月間，覃某通過其掌控的華夏銀行卡多次在 ATM 機上跨行取款，將銀行資金 717.9 萬元轉入其使用控制的銀行賬戶，非法佔為己有。

覃某生於 1975 年，大學畢業後一直在銀行系統工作，其妻子也屬於銀行系統職員，兩人育有一個 9 歲女兒。覃某在華夏銀行開發中心擔任三室處長，日常負責銀行核心系統的開發和維護。

沒彙報，私自進行漏洞測試

據悉，2016 年 11 月份，覃某利用開發中心內的電腦編寫了一個後台程序，並將其放在銀行主系統上，覃某稱：

「編寫這個程序是為了驗證銀行核心系統的漏洞是否存在，這個缺陷大概是在跨行 ATM 機取款後，取款成功但不會計入賬戶。」

在將後台程序放到核心系統後，覃某用一張銀行卡到 ATM 機內取款，測試時間與漏洞觸發的關係：

「正常情況下銀行有規定不允許在生產環境下測試，而且他沒有權利這樣做，每次進行測試前都要向領導彙報，作預案，審批後才能進行。」

提案雖由覃某所在的部門提出，但實施測試需由其他部門來做。

「我當時覺得正常的測試太麻煩，（就）沒有向單位彙報。」

起貪念，取款 700 余萬佔為己有

覃某交代，他編寫的程序包含三個文件，分兩次放置在系統中，之所以兩次將編寫的程序放置到系統中，是為了把系統里的漏洞時間（即成功取現但不計入賬戶的時間）延長，第一次程序可將時間延長到 23 點，第二次可延長到 24 點。

對於一年多時間前後取現 1000 多筆，非法佔有人民幣 700 余萬元的犯罪動機，覃某稱：

「一開始就是想做測試，後來拿取出來的錢還了外債。」

據悉，2017 年 3 月時，覃某從親戚、同事處借款買了一處位於北京市門頭溝的商鋪。同年 5 月開始，覃某陸續用取來的錢還借款，部分錢還另外買了理財及借給朋友開店。

覃某稱，銀行規定測試需測試卡，並要經過報批審核，再由指定的人辦理銀行卡作為測試卡。但由於覃某利用職務之便，通過他人辦理的銀行卡繞過了監管審核，因此得以私自進行測試，最終通過漏洞套取巨額現金據為己有。

2018 年 1 月底，東窗事發，覃某將其 2013 年購買的一套位於北京大興的房子抵押給朋友，從朋友處獲得 550 萬元，加上從其妻子處拿來的 190 余萬元，一起轉到了他取款的銀行卡內。

覃某稱，自己最大的錯誤就是沒及時向上級彙報自己發現了這個系統漏洞：

「我當時就想著報批太複雜，而且做這個測試的部門可能也解決不了，最後還是需要由我在的部門解決。」

檢方認為，覃某的行為應以職務侵占罪追究刑責。建議判處有期徒刑五年到八年。此案未當庭宣判。

新聞來源：法制晚報。地址：

https://c.m.163.com/nc/qa/3g-expand/huawei-b200-article.html?docid=DTP1LGAF000187VE&w=2

行業觀點

對此事件，InfoQ 諮詢了一位金融系統的技術專家，因為事件敏感，不方便公開發表評論，故此作匿名點評：

本人系從事金融機構客戶，市場交易，風險領域等系統研發，並非商業銀行系統領域專家，以下技術分析則屬於根據文中公布信息的研究和推測：

首先，從技術角度來看，整個事件屬於跨行轉賬交易分散式事務在多階段提交過程中出現了數據的不一致性，其整個過程涉及到了跨行轉賬，清算系統的關鍵流程。國內目前的跨行轉賬事務處理並非實時，兩個銀行都是通過中央銀行 (如人行, 銀聯) 進行中轉和清算，而清算系統通常是批處理日結，之後 (如 T+1) 則分別與兩個銀行核對確認交易明細，之後進行清算支付 (通過保證金系統)；清算支付之後才回到各自銀行系統進行賬戶餘額對賬。顯然這過程中的真實支付與實際賬戶餘額對賬有著跨系統以及時間差，而本文整個事件都是圍繞這個時間差做文章的，即所謂「取款成功但不會計入賬戶」，也就是在整個事務的最後對賬一步出問題。

對於該技術處長：

顯然該處長利用其對整個流程的熟悉，嗅到系統的漏洞，並開發漏洞驗證程序，繞過正常流程測試並證實系統漏洞後，進一步惡意植入，修改程序，一步一步走向深淵。其實很多從事風控及安全漏洞相關的工作都是雙刃劍，比如殺毒軟體和病毒。在極度熟悉系統實現及流程情況下，會從敬畏到高度控制，一旦涉及金融利益，則很可能會觸碰高壓線。

對於該銀行：

顯然存在很明顯的流程及監管問題，如開發人員未經過正常審批流程觸碰生產環境，大多金融企業，開發人員 CTB 與運維 RTB 是有清晰界限，開發人員對於生產環境的控制最大限度也是在系統監控下查看部分非敏感日誌，生產系統只能由運維人員來部署等。監管方面，生產系統顯然缺乏監控，對於所有登陸生產用戶，操作進行實時監控，預警和報告等。以及對於複雜跨系統間的數據一致性校驗，如銀行保證金賬戶與真實賬戶的差異並未及時發現；另外，其實無論多複雜的系統還是流程都是人預先設計的，而是人設計則必然有缺陷或漏洞，比如該行技術人員可以通過職務之便與他人合作繞過流程，充分說明銀行也需要加強對員工進行職業道德操守，操作風險以及信息安全保護的教育和培訓。

IT 從業者的職業道德

每個行業都有其做事的行為準則，也有其約定俗成的職業道德。對於 IT 從業者的程序員來說，職業道德應該是怎樣的呢？

IEEE（電氣和電子工程師協會）曾制定過 IT 從業者的倫理準則（Code of Ethics），簡單翻譯以供參考：

以公眾的安全、健康和福利為最高原則，努力遵守道德設計和可持續發展的慣例，並迅速披露可能危及公眾或環境的因素；

盡量迴避存在或可預見的利益衝突，如有衝突存在應及時向波及對象披露；

對現有的數據的聲明或估計應誠實、客觀；

拒絕任何形式的賄賂；

增進個人對技術及其應用和潛在後果的理解；

保持並提高自身技術實力，在確保能力和經驗勝任、並充分披露有關局限的情況下，方可接受他人的技術性委託；

對技術成果，尋求、接受和提供誠懇的批評，承認和糾正錯誤，和恰當地承認他人的貢獻；

公平對待所有人，不做出任何有關種族、地域、性別、殘障、年齡、國籍、性取向、性別認知、性別表現的歧視行為；

避免因錯誤或惡意的行為損害他人人身、財產、名譽、或工作；

幫助同事的職業發展，並支持他們遵守職業行為準則。

IEEE Code of Ethics：

https://www.ieee.org/about/corporate/governance/p7-8.html

機靈的 InfoQer 們，你們看了這個新聞有何感想？快點留言告訴我們吧！

文末福利

科大訊飛全球 1024 開發者節即將開幕，InfoQ 給真愛粉送福利啦！

價值 1024 元的嘉賓票 50 張，權益包括：2 場開幕式；AI 開發者大會；10 場 AI+ 行業分論壇；AI 新品展區互動體驗；商務餐飲、嘉賓會客區；AI 公益音樂節；AI 新品體驗福包（B 版）等！戳下圖小程序，馬上參與哦！

今日薦文

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！