Re: [新聞] 不爽沒拿到獎金!工程師程式植入「-」…害公司損4200萬
※ 引述《cjol (勤樸)》之銘言:
: 作者: opppoo123 (little_dd屬於言論自由況) 看板: Stock
: 標題: [新聞]
: 時間: Sat Aug 26 10:02:37 2023
: 原文標題:不爽沒拿到獎金!工程師程式植入「-」…害公司損4200萬台幣
: 原文連結:https://reurl.cc/QXzrEb
: 發布時間: 2023/08/26 05:51:00
: 社會中心/台北報導
: 原文內容:
: 全球前五大加密貨幣交易公司第2名工程師,因不滿公司未依約定發獎金,竟在離職前於交易及分析程式裡偷植入「負號」,甚至盜用老闆的帳密駭入程式,造成公司鉅額虧損。台北地院審結,2名工程師被依妨害電腦使用等罪,遭判刑1年4月徒刑、10月徒刑。
: 據了解,2名工程師是分別是軟體工程師及交易員,及負責軟體開發及各項重大系統安全維護,並於2018年9月、10月間任職期間,與公司其他成員共同研發代號「Zeus」的自動化交易系統程式後,投資策略卻連續出包,累積交易虧損高達約140萬美元(約4200萬台幣)。
: 一查發現,2020年5月初,2人因為不滿公司未依承諾發放獎金決定離職,為了報復公司,竟在離職前商議搞鬼,不僅在系統程式碼動手腳添加幾個「負號」,還冒用創辦人帳號駭入公司確認交易虧損狀況,幾天後又覆寫部分主程式加以竄改參,對2人提出告訴。
: 2名工程師到案後,坦承部分部分犯行,卻否認覆寫主程式功能,辯稱在程式碼改變參數,只會讓系統選擇「次佳組合」而非「最差組合」,此外本案也沒觸發系統預設的停損機制,因此公司的鉅額虧損不應全歸咎於他們。
: 台北法官審酌後,認為2人身為公司工程師卻不忠實執行職務,只因不滿公司未依承諾發放獎金心生不滿,濫用專業報復公司;考量2人無前科,依妨害電腦使用、偽造文書等罪,其中一人判1年4月徒刑,其中8月得易科罰金24萬元,另一人判刑10月、得易科罰金30萬元。全案可上訴。
: 心得/評論:
: 好可怕,讓我想到「三體」裡思想鋼印那一段內容,但本案因程式加了負號造成的虧損能求償嗎?
: 要怎麼證明原先的程式可以抓到那一段波段?
: 就算能抓到波段又怎麼證明你的操作方式能獲利?
: 而且損失還有分成
: 1.該賺沒有賺到
: 2.該躲沒有躲掉
: 3.該賺不僅沒賺到,還做錯方向大賠
: 我看4200萬是不是只能自己吞了?
https://reurl.cc/dDRGgq
看到這則新聞的判決書,我覺得有些地方很有趣
1. 公司內部的部分程式寫在判決書裡
(i) 將原始程式碼「x:x[1]」,無故變更為「x:-x[1]」,並於電磁紀錄上偽冒陳建榕之名義
推送變更後之程式而行使之,導致「reconciliation.py」程式將最差組合之「.json」檔案與「.config」檔案誤認為最佳組合
(ii) 將「fitter_backup」程式覆寫入「/j/zeua/deply」路徑以變更原有之「fitter.exe」程
式,並命名為「fitter」,完成後再將「fitter_backup」程式刪除
(iii) 核與證人黃博泓於本院審理中證稱:「『reconciliation.py』程式最後一個階段,有一
行程式碼要選出最佳參數,它是有關排序的程式碼,所以這個程式碼就是要排序分數最高的,被告在程序碼中加入一個負號
(iv) 1、弄死所有gluster file system;
2、~/git/Oracle/deploy/fltter_backup to
/j/zeus/deploy/fitter (both taipei and ibm);
3、Is/j/zeus/production_log/zeus_data/*/fitter/*.json| xargs-1{}-n 1
python3~/improve.py-f={}(only need taipei,ibm will
be rsynced every hour) ;
4、 rm-rf~/git/Oracle/deploy/fitter_backup;
5、rm -rf ~/improve.py」」
2. 觀諸被告2人於109年5月9日下午5時23分之LINE對話紀錄,被告陳育聖向被告許書軒表示:「你剩下任務,請注意檔案的* 時間*」,並對被告許書軒為5點指令,包括:
(和1的(iv)一樣)
3. 證人黃博泓於110年12月3日偵訊及本院審理中證稱:我們最早只有發現大批的「.json」檔的時間戳記都留在109年4月30日,我們覺得很可疑,因為這些都是不同時期建立的「
.json」檔,就是在備用資料庫裡的「.json」檔,但時間戳記卻都是109年4月30日,我們就進行比對,發現這些都有問題,我們後來有查證,Linux作業系統是可以更改時間戳記;就前述第3點程式的前段,就是叫出生產環境備份目錄中所有的「.json」檔,後段針對這些檔案去執行「improve.py」,以此被告2人變更7百多個檔案,我們針對這個項目去找我們電腦中以前另外存載的備份,才比對出37個遭被告變更的檔案等語
我有幾個疑問點:
1. 我不知道因為這個告訴,公司部份的程式架構也列在判決書裡
會不會造成以後有心人士知道怎麼對該公司的程式做手腳的問題
2. 這2人的line對話紀錄,居然沒有串通好滅證嗎?(至少直接把這些紀錄一起刪除)
還是說他們其實有刪除,但被警方扣押後,用某種方式還原?
3. 所以要證明他們做的有問題,還要另外找個工程師解釋code在幹嘛?
然後把資料的相對順序反向這點,用"-"來處理數值的確是一種簡易有效
又是很老梗的做法就是了...
更改這點看來不是一個高明的方式,因為有點經驗的人一定看的出來~
--
rm -rf *
應該要直接第三方然後直接從記憶體著手,這樣比較
高端
這些語法 法官看得懂也蠻厲害了的
應該不是法官看得懂,而是法官採信了證人的證詞 然後這種把數值改成負的,順序就會相反 大多數人應該也聽得懂
這種判決書還蠻有趣的
這種案件,法官會徵詢第三方專家的看法
像是相關領域公職機構的教授、研究員這類的
誰會用Line記錄討論這個,我會笑死。
正常來說外部人沒辦法接觸到這些系統吧
刪掉Line紀錄?
呵呵,那是你以為有刪吧
妳都知道是老梗的做法了 有啥好怕的
該怕的是公司這麼沒制度 去的人自己小心
法官看得懂程式碼在幹嘛嗎 哈哈
Linux 都open source了,有啥好怕的?
linux 的確open source了,可是沒有要求外部提供的
module要跟著open source
爆
[閒聊]遊戲開發者抱怨現在程式碼誇張膨脹「可能有99%的內容都是垃遊戲開發者Cliffski抱怨現在程式碼誇張膨脹「可能有99%的內容都是垃圾」 作為一名從事獨立遊戲設計和程式業務的開發者,克裡夫斯基(Cliffski)在一篇文章中 吐槽道 —— 這年頭的「程式碼膨脹」,已經到了令人髮指的地步。 他以自己常使用的一個雲端備份服務為例來說明,這個由某個大公司提供的雲端備份工具76
Re: [新聞]麻將遊戲不會算台、建商怒告委託設計公司幫大家找好判決書了,不要再通靈了 以下擷取部分,完整的請自己進連結看 兩造於民國108年9月16日簽訂「客製化APP遊戲與管理系統建置專案合約書」及增修條款 合約書(下分稱系爭專案合約、系爭增修合約,合稱系爭合約),設計費用總計新臺幣(13
Re: [閒聊] 自己做的vlive統整下載清單TWICE vlive網址清單(截至2022/11/01): 下載程式yt-dlp下載處: 合併程式ffmpeg下載處: 批次下載命令1: 批次下載命令2:6
Re: [討論] 用AI寫code產生的疑問我和同事們不久前有討論過如何透過 ChatGPT 來建立應用或是優化工作流 例如協助我們翻譯語系檔案等等 這個過程中,我們希望 AI 的結果可以整合進自動化工具裡面 所以我們將語系檔案分批餵給 ChatGPT API,再要求他回傳指定的 JSON 結構,結果超極 滿意5
[情報] 駭客開始利用Nvidia程式碼簽章散布惡意程駭客開始利用Nvidia程式碼簽章散布惡意程式 文/陳曉莉 | 2022-03-07發表 Nvidia在今年的2月23日遭到駭客入侵,LAPSUS$ 駭客宣稱自Nvidia系統上盜走了1TB的資 料,包括驅動程式、韌體或其它技術資料等,除了7.1萬名Nvidia員工資料已在網路上流 竄之外,駭客也公布了兩個Nvidia的程式碼簽章憑證,而且很快就遭到惡意程式的濫用,3
[問卦] 電腦中毒怎麼辦電腦誤開一個程式後 資料被加密上鎖 內有一個文字檔 如圖片 我是不會付款解鎖啦 只是我的備份檔案沒有更新到近日QQ4
Re: [討論] 用AI寫code產生的疑問AI(GPT)用於Coding的實務心得 作者是虎尾科大資工系陳國益教授,經同意後轉載文字內容,原連結於下: 在上週前往華新麗華授課時,有工程師問到:若有要接手的大型專案,應如何透過AI協助 ,加速對專案的理解速度,或是快速產生手冊、API列表等,傳統上要花非常多時間交互2
[心得][英文] 高中6K字-108版# 高中6K字-108版 大學入學考試中心「選才電子報」第 312 期( 2020-08-17 )談論了新版的 《高中英文參考詞彙表》,內有單字、詞性、級別,並提供 PDF 版下載;我把它 清理了一下,整理出 JSON 版及 Google Sheets 版,方便應用。 * Google Sheets 版:- 不好意思,最近在整理手機 因為有兩支舊手機大概已經放了2年... 但是目前怕開無線網路後,馬上會灌入這2年的新訊息 想問一下,該如何讓舊手機的訊息,就算開網路 也停在當時的時刻,不在更新?
- 大家好 因為2018年的時候neo被割 就放在錢包裡到現在 結果那個錢包下架還壞掉 導致json加密沒辦法解開