华为员工利用公司系统 Bug 越权访问机密数据的案件。

IT之家 4 月 12 日消息,中国裁判文书网披露了一份华为员工利用公司系统 Bug 越权访问机密数据的案件。

华为员工易某因工作需要,拥有登录华为企业资源计划 (ERP)系统的权限,查看工作范围内相关数据信息。

2010 年 12 月,易某从华为公司线缆物控部调任后,未按华为公司的要求将 ERP 账户线缆类编码物料价格的查询权限清理,至 2017 年底,易某违反规定多次通过越权查询、借用同事账号登录的方式在 ERP 系统内获取线缆物料的价格信息。

2017 年以后,易某发现 ERP 系统中的 POL 采购小程序存在漏洞,能通过特定操作绕过权限控制查看系统数据,便以此方式获取线缆物料的价格信息。易某将非法获取的价格数据以发短信、打电话、发电子邮件的方式告知深圳市金信诺高新技术股份有限公司(华为技术有限公司的供应商),从而帮助金信诺公司在华为公司的招标项目中提高中标率

在 2016 年 12 月 27 日至 2018 年 2 月 28 日期间,多次通过公司邮箱将华为多个供应商共 1183 个(剔除重复部分共 918 个)线缆类编码物料的采购价格发送给金信诺公司。其在 2012 年至 2017 年 6 月 30 日期间,收受金信诺公司购物卡共计 7000 元、篮球鞋 5 双(价值共计人民币 16437.6 元)

案发后,华为公司出具谅解书,表示对易某侵害华为公司的行为予以谅解

IT之家了解到,法院一审裁定,易某犯非法获取计算机信息系统数据罪,判处有期徒刑一年,并处罚金人民币二万元;并向易某追缴违法所得共计人民币 23437.6 元,依法予以没收,上缴国库。

易某提起上诉,请求撤销原审判决,并依法改判为免于刑事处罚。法院二审裁定,易某非法获取计算机信息系统数据,违法所得超过人民币 5000 元,属于情节严重,已经构成非法获取计算机信息系统数据罪。其本人及辩护人的相关意见不成立,法院不予采纳。原审判决认定事实清楚,证据确实充分,定罪准确,量刑适当,审判程序合法。驳回上诉,维持原判

该案件涉及非法获取计算机信息系统数据罪,根据《中华人民共和国刑法》第二百八十五条规定,非法获取计算机信息系统数据、非法控制计算机信息系统罪,是指违反国家规定,侵入国家事务、国防建设、尖端科学技术领域以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,情节严重的行为。刑法第285条第2款明确规定,犯本罪的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。

非法获取计算机信息系统数据罪是一个热点罪名。

本文转载于IT之家、知乎

您可能 感兴趣

发表评论

电子邮件地址不会被公开。 必填项已用*标注