其他类似案例,供参考
覃某,男,壮族,年10月31日出生,硕士研究生文化,案发前曾系华夏银行股份有限公司科技开发中心开发四室经理。年11月至年1月,覃某在华夏银行科技开发中心内利用该中心其他人员的账户登录华夏银行股份有限公司总行的核心系统应用服务器,将其编写的具有“将其控制的华夏银行卡(尾号为)夜间跨行ATM机取款不计入客户账”功能的“漏洞”程序植入该服务器;并在此期间实施多次跨行ATM机取款行为,累计取款人民币.9万元未计入尾号为的客户账。覃某将上述款项转入其控制的其他银行账户,非法占为己有。覃某的供述证明:
在公安机关的 次供述:我是华夏银行股份有限公司开发中心开发四室处长;年9月至年12月任开发中心三室处长。开发中心三室处长的职责是负责核心系统的开发和维护。年11月,我在北京市朝阳区环球金融中心11层华夏银行开发中心,用我下属张某2的用户名登录电脑,编写了一个后台程序并将该程序复制到sh目录下。我把这个后台程序放在华夏银行主系统的生产主机上了,主系统会把我编写的后台程序自动调起来。我编写这个程序的目的是验证华夏银行核心系统里的账目缺陷:在ATM机取款后,取款成功但会不计入账户。我用一张银行卡到ATM机取款来验证这个漏洞的存在。我测试核心系统的漏洞没有预案,主要想测试时间和漏洞的关系,没有按照每日固定时间去测试,是很随机的测试。我从年11月开始取款,一直到年10月。我取款会有取款成功,也计入到账户的时候,所以我取款数目不定,有时每日取元、有时取2万元。我一共取了多笔,有.2万元。这些钱我没有用,放在一张我名下的兴业银行卡里,就是我后来转账给华夏银行沧州分行的那个账户。我每天取完钱都存在这个兴业银行的卡里,有时候隔天放在里面。我已经把钱退了。年1月,沧州分行报来问题单,发现我使用的那张银行卡有取款记录,卡有问题。我单位领导在年1月30日找我谈话,我承认了我做的测试、取钱,说会把钱还上。这些测试,编写程序、去ATM机取款都是我一个人完成的。我用的是一张户名是吴某7华夏银行的普通借记卡(在沧州分行开户),是我花元在网上买的。华夏银行规定不能在生产环境下做测试,但是我做了。因为在测试环境里我无法达到测试的效果,这个需要在跨行ATM机取款才可以(只有跨行ATM机取款才可以触发这个漏洞)。每日夜里21时后,利用银行在批量处理交易的时候触发这个漏洞。如果我在华夏银行的ATM机上取款触发不了这个漏洞。在正常情况下我不能做这种测试;需要向领导汇报、制作预案、经过审批,才可以做测试。提案由我这个部门提,具体测试需要让其他部门来做。我觉着按照正常的测试太麻烦,需要让其他银行配合,很麻烦。我没有向领导汇报这个测试。之后在公安机关多次供述:我两次往华夏银行的核心系统放入自己编写的程序: 次是年11月,用谁的账户我记不清了,放在系统目录里(是一个很长名字的目录);第二次是我用张某2的账户登录的,放在sh目录下。我编写的程序一共包含四个文件ai、aix.sh、hxb_tmp.sh、tmp_hxb(如果hxb_tmp.sh和tmp_hxb的内容一样的话,就是我在复制时将名字写反复制了一遍), 次我直接在生产环境的操作台编写好这三个程序;第二次我把这三个文件从系统目录复制到了sh目录下。我利用的是银行的日间模式和夜间模式之间的时间空当。华夏银行系统在每日的晚间21时30分启动夜间工作模式,把系统的主要精力用来做结息等工作。等做完这些工作,银行系统恢复到日间模式。这段时间内发生的其他交易(比如ATM取现、网银交易等),会把正常的交易结果追加到主系统中,异常的交易结果不追加到主系统中。我的程序就是把我使用的这张卡在夜间模式里的交易设置为异常的交易,从而可以取现成功,但交易结果不计入到银行的主系统中。我第二次将我所写的三个程序复制到了sh目录下,起到的目的就是反复调用这三个程序,把我想要做到的既成功取现又不计入余额的时间加长了。因为我之前在取款时有过取款成功,又把取款余额计入到账户里的时候;所以我还又往这张卡里存了五六次钱(每次2万元)。 次的程序可以将时间延长到每天夜里23点以后,第二次加载的程序可以将时间延长到每天夜里0时以后。我在工行、建行、农行、招行、中信银行等取过钱,都是跨行取款。按规定,如果测试的话,需要有测试卡(经审批后,由指定的人办理的银行卡作为测试卡)。我想做这个测试,手头又有张某1这张卡,就用了。我想着报批太复杂,行里可能也不会太重视;而且做这个测试的部门可能也解决不了这个漏洞,还是需要由我的部门来解决,我就自己来做这个测试了。我 的错误就是没有及时向上级汇报我发现的这个漏洞。年1月,华夏银行发现我用的这张卡是异常交易的账户,沧州分行查不出结果,反馈到总行的开发中心。马某和崔某向我请教这事的技术问题。我给华夏银行河北分行科技部的老总孔某打电话,告诉他这是一个程序的缺陷,我们已经发现,会尽快处理。我没有系统登录账户,因为我是管理者。管理者的权限是对向张某2这样的开发和维护人员登录系统的中层审批,审批通过后报到开发中心副总经理陈某1处做 的审批。我作为中层管理者,一般在系统的编程维护中都是程序员在做,我在旁边看着;他们做不了,我亲自上手。这套系统是我开发的,我的水平 ,这些程序员做不了,由我来做。我取了多笔共计.9万元, 一次是在年1月。我不在北京的时候还让李某帮我取过10次钱,大概20多万元。我说让她帮我做测试,每天22点之后取款。我回北京后她就把钱给我了。我用的银行卡的开户人叫张某1,年或年,我让她办一张华夏银行的卡给我的。我当时想去做兼职,用这张卡收钱,但是一直没用。我修改了这张银行卡的身份证号码,为了让卡主用自己的身份证无法对这张卡做改动,我可以继续做测试;户名改没改,我忘了。年2月24日,我将这张银行卡扔在东三环主路中间的草丛里了。我用这张卡取出的钱存在我母亲罗某名下的建设银行账户下,一部分我转到我名下的华夏银行卡里,一部分转到我名下兴业银行卡里。这些钱我用来还账了:还给舒某万、张某万、王某万、艾某30万、董某万、董某15万、葛某20多万,我老婆同事陈姐不到万;其他的都在我兴业银行卡内,我做了理财。理财赎出后,我将万转给我老婆。我还钱是因为,年3月我借他们的钱用来买门头沟区的商铺了。年1月31日,我告诉我老婆,这些钱还给了借给我钱买商铺的人。年1月,我将我在大兴的一套房子抵押给翟某,向他借了万;我老婆给我多万;这些钱我转账给华夏银行沧州分行。当庭供述:华夏银行的核心业务系统是从国外引进的,该系统设计的时候没考虑夜间交易的问题。后来我们发现夜间交易的数据被存放在一个参考库(如果该库出现异常是没有对照系的);而且这个过程是动态的,凌晨会重新入账,和实际交易有一个时间差。我在仿真环境中没找到原因,我就想在生产环境中做测试。我写了代码定位我的卡号,去发现异常情况,一开始不能成功,一直到年1月份的时候我才基本找到了原因:这个问题我们没有能力去改,只能通过对账的方式对出来。我做的测试修改了特定账户的日志,该漏洞在客户 次交易时查询账户余额就能发现。例如,我晚10时取款元,交易成功,银行没有真正修改客户信息而是放在一个中间状态资料库中;系统日志是一个临时存放的地方,正常是不应该影响客户交易的,但我修改系统交易日志后,就回到原来的状态没有记账成功。这个漏洞影响到客户利益,属于 别的一级风险,要 时间研讨分析,尽量在一天内解决。夜间交易不入账有1%-5%的发生概率。这是对客户有利的事情,客户一般不会向银行反映,我们就无法掌握这种情况。这种系统有错账是肯定存在的,银行找不到原因。年1月24日,沧州分行给我提交了事件单,我发现这个卡号是我用来做测试的,我跟我的团队说了这事,还给分行的老总打电话说这个问题我们已经找到了,会陆续解决掉。1月26日之后,我把我知道的整个事情处理过程说了。2月5日,我把钱还给单位。我积极配合单位调查,不知道单位报警的事。3月27日,单位领导说警察找我,我就被警察带走了。我和华夏银行股份有限公司签订的是无固定期限劳动合同。法院裁决(北京市朝阳区人民法院):
以上证据,经庭审举证、质证,法院认证如下:1、覃某关于其是在测试漏洞,没有动相应钱款的供述和辩解:一、华夏银行的核心系统的夜间模式本身会记录交易数据并在之后计入系统,而覃某的“测试”则是植入不让其指定的银行卡夜间取款记录计入客户账户的操作程序,给正常的系统安置上一个本不存在的“漏洞”。二、覃某能说出夜间交易不入账的发生概率,又说银行无法掌握这种情况,自相矛盾。三、测试漏洞,覃某使用的银行卡年11月11日取款后在客户账户没有记录,就能发现该“漏洞”的存在,而覃某持续取款至年1月案发。四、覃某的职责决定其测试漏洞是为了解决问题,但覃某直到案发前仍未提出“漏洞”的解决方案;反而在发现“漏洞”有不起作用的时候后,再次加入“漏洞”,使漏洞发挥更大的作用。五、华夏银行的测试有一整套的规范要求,覃某均未履行。六、本案的案发过程证明,华夏银行在覃某说的解决方案之前就设有人工对账岗位对相应的交易记录进行核对。七、在案银行交易记录等能够证明,覃某在取款后用于个人理财、还债、给其妻子等事务,在案发时需要借债偿还此项钱款,足以证明其非法占有了通过ATM取款取得的财产,而非“没有动”。综上,本院对覃某的此项供述和辩解不予确认。2、证人关某关于覃某可以进行测试和保管测试钱款的证言:其一边说覃某的行为违规了,一边说其可以进行相关测试,自相矛盾;华夏银行股份有限公司关于相关测试有着明确的规范,且覃某、证人陈某1、王某1等人的证言也能证明覃某不能进行本案的所谓“测试”,故本院对证人关某的证言不予确认。3、华夏银行出具的覃某系履行工作职责过程违反操作规程,导致银联清算差额,未造成资金损失的撤案申请:一、覃某自己明确供述其发现的“漏洞”不能由他本人解决,他本人无权自行在生产环境中测试。二、华夏银行对系统问题的提出解决有明确的规范,覃某作为一名室负责人,未履行其中任何一项职责。三、在案证据能够证明进入生产系统是需要操作人员的申请被批准后,给特定操作人员发送具有时间范围的进入窗口,覃某本人没有登录账户。四、开发维护人员进入生产环境覃某的职责只是审批的 环节,之后还有更多的审批,其不具有进入生产环境的决定权。五、在案覃某供述等证据能够证明,测试中使用的钱款需要有华夏银行专门开立的账户,覃某没有此职权。六、覃某是在华夏银行报案后退款,挽回已造成的损失。综上,本院对此证据不予确认。4、在案其他证据能够证明相关事实,本院予以确认。本院认为,覃某盗窃公司财物,数额特别巨大,其行为已构成盗窃罪,依法应予惩处。北京市朝阳区人民检察院指控覃某犯罪的事实清楚,证据确实、充分。关于指控的罪名,法院认为:一、覃某偷用他人账户进入华夏银行的核心系统植入漏洞、修改卡用户信息后,使其控制的特定银行卡夜间跨行ATM机取款不计入该卡账户;将取得的钱款用于个人理财、归还债务等,其行为系秘密窃取华夏银行股份有限公司的财物。二、覃某没有在生产环境进入核心系统的职权。覃某负有对核心系统功能和优化升级进行设计、开发、测试等职权。但我们注意到,进入生产环境下的核心系统需要使用人具有登录账户,且使用时需要逐级审批;覃某没有相应的账户,在使用人申请时只是其中一个环节,没有决定权;即覃某的职务没有使其直接在生产环境下进入核心系统的便利。诚如覃某所言,在系统编程维护中程序员做不了,其因水平高有亲自上手解决的情况;但其实施本案的程序植入是在账户使用人不知情的情况下,覃某个人所为,并非其说的帮助其他程序员解决问题的职务便利。三、覃某对银行资金没有管理的职权。覃某是被害单位的技术人员,保管银行资金不在其职权范围内;即使在测试中涉及资金问题,按照被害单位的管理要求也应该设立专门账户保管使用,而覃某直接将涉案资金取出后自用。故公诉机关指控(指控为职务侵占罪)的罪名不妥,本院予以纠正。覃某已退赔被害单位的经济损失,本院对其酌予从轻处罚。覃某及其辩护人关于其不构成盗窃罪的辩护意见,经查在案证据足以证明覃某盗窃被害单位财物且其本身不具有相应职权,故此辩护意见本院不予采纳;辩护人关于覃某有自首情节及对其减轻处罚的辩护意见,经查覃某向单位领导陈述的“做测试”与审理查明的覃某植入漏洞盗窃、非法占有相应款项的实施并不一致,覃某没有如实供述不构成自首,也不符合减轻处罚的法律规定,故此辩护意见本院亦不予采纳;辩护人关于覃某已退还钱款对其从轻处罚的辩护意见,有事实依据,本院酌予采纳。综上,根据覃某犯罪的事实、犯罪的性质、情节以及对于社会的危害程度,本院依照《中华人民共和国刑法》第二百六十四条、第六十一条、第四十五条、第四十七条、第五十二条、第五十三条、第五十五条 款、第五十六条 款之规定,判决如下:覃某犯盗窃罪,判处有期徒刑十年六个月,罚金人民币一万一千元,剥夺*治权利二年
相关阅读·
因「人为错误操作」美国的“中央银行”美联储全面瘫痪:影响整个美国银行界
前花旗银行的IT人员删除银行核心路由器上的配置文件,现在要蹲21个月的班房|「云头条」
花旗银行32亿元打水漂:财务软件UI设计酿的祸
中国农业银行被罚万元:因重要信息系统突发事件未报告、网络信息系统存在较多漏洞等6项原因
判了:攻击摩根大通银行的黑客入狱12年!
中国银保监会发布《系统重要性银行评估办法》
中国银行业IT史:激荡的40年
中信银行因重大故障等原因未上报,被罚2万元
一个违规操作、损失万、被判五年半:运维夏某某致「郑大一附院」医院系统瘫痪2个小时,判破坏计算机信息系统罪
预览时标签不可点收录于话题#个上一篇下一篇