離職 5 個月後工程師「刪資料庫落跑」,讓思科損失 240 萬美元

作者 | 發布日期 2020 年 09 月 02 日 8:00 | 分類 網路 , 職場 , 資訊安全 Telegram share ! follow us in feedly


最近幾天,一則思科員工刪掉公司資料庫落跑的新聞再次引發眾多工程師關注。據悉,這名工程師僅憑一己之力,刪掉思科 456 台虛擬主機,導致思科損失 240 萬美元。

某工程師表示,會刪資料庫無非兩種理由,一是手滑,二是受到不公平待遇,一時衝動刪除。

公司視碼農如手足,碼農視公司如心腹。公司視碼農如土芥,碼農視公司如寇仇。

但思科身為網路解決方案供應商,發生這樣的事,也讓大眾很驚訝。

離職 5 個月後,思科前員工刪掉 456 台虛擬主機

事情要從 2018 年 9 月說起,此時距犯人 Sudhish Kasaba Ramesh 離職已過去 5 個月。

據 Ramesh 描述:

2018 年 9 月 24 日,離職 5 個月後,Ramesh 在未經許可的情況下,擅自訪問思科託管在 Amazon Web Services 的雲端基礎設施。他從自己的 Google Cloud 帳號設了一段程式碼,導致 456 台 WebEx Teams 應用程式的虛擬主機被刪除。WebEx Teams 是思科公司較受歡迎的協作辦公軟體,提供視訊會議、文件共享和其他協作工具等。

Ramesh 認罪時表示自己「設程式碼時行為魯莽,並有意無視可能對思科造成傷害的巨大風險」。

據檢察官說明,Ramesh 的行為導致超過 16,000 個 WebEx Teams 帳號被異常關閉,持續時間達 2 星期。

思科共計損失 240 萬美元,包括修復問題支付約 140 萬美元人力成本和超過 100 萬美元的客戶退款損失。

所幸,此次事件並未導致客戶資訊遺失或洩露。

思科公司發言人聲明表示,「思科已於 2018 年 9 月快速解決此問題,保證沒有任何客戶資訊遺失或洩露,並及時引入其他保護措施。」

同時思科表示:「我們將這問題提交執法部門,並在能力配合之下成功將其繩之以法。我們相信改善後的機制足以防止此類事件再次發生。」

而 30 歲的 Ramesh 或將面臨 5 年有期徒刑與 25 萬美元罰款。Ramesh 已被保釋,保釋金為 5 萬美元,宣判將於 2020 年 12 月 9 日公布。但由於認罪協議細節尚未公開,Ramesh 動機還不明確。

據上一次中國微盟刪資料庫事件,大眾也猜測,他很可能受到不公平待遇才一時衝動,否則誰會抱著葬送職業生涯的危險做這種事?

值得注意的是,根據法院文件,Ramesh 在美國持有 H-1B 簽證,且正在申請綠卡。法院文件提到,儘管他和雇主了解目前認罪結果有可能影響移民程序,甚至導致被驅逐出境,但雇主仍願意為他保留職位,考慮繼續留在美國並為公司效力的可能性。」

看來,Ramesh「一時衝動」的原因還有待澄清。

思科是什麼樣的公司?

那麼,思科是一家什麼樣的公司?

思科被譽為「網路的金門大橋」,一是名字取自 San Francisco(舊金山)的最後 5 個字母,另一個是 Logo 就源自著名的金門大橋,本意是「架起連接不同網路的橋梁」。

思科成立於 1984 年 12 月,創辦者是史丹佛大學兩名教授,分別是計算機系的計算機中心主任萊昂納德‧波薩克(Leonard Bosack)和商學院的計算機中心主任桑蒂‧勒納(Sandy Lerner)。

身為 to B 公司,思科對許多人來說是既熟悉又陌生的存在,主要客戶幾乎全部來自企業和營運商,核心產品是交換機和企業網路由器。

思科被稱為網路技術的締造者,生產製造許多網路執行必須的設備,某種程度說,沒有思科,網路浪潮是否到來還是個問號。思科最大的貢獻,則在推出網路核心的路由器技術。

路由器誕生前,由於廠商採用的網路協議不相同,設備無法互通,網路只能以一個個孤立區域網形式存在,直到 1980 年代,思科推出多協議路由器,不同網路協議的設備才得以相互傳輸資訊,奠定網路爆發的基礎。

比路由器硬體更有價值的,則是節點之間互聯標準的制定權。對設備製造商來說,這項授權就好比進入網路世界的通行證,即便強大如微軟、康柏、諾基亞,也不得不向思科低頭。

有了這座牢不可破的技術壁壘,隨後到來的網路泡沫期間,思科一舉超越微軟,登頂全球市值最高企業的寶座。同時,思科也是華為在美國市場強力的競爭對手。

正因如此,思科發生這件事,才會讓大眾這麼驚訝。

刪資料庫事件不意外,​​但該如何防止?

但類似刪資料庫事件並不意外。

2018 年,順豐一位工程師在升級系統資料庫時,不慎將 RUSS 資料庫刪除,導致很長一段時間順豐線上發車功能無法使用,帶來嚴重負面影響。最後這員工被開除。

還有位自稱阿里員工的知乎網友表示,自己剛上班時,資料庫可直接用 bash 執行後台增刪改操作,各種監管和操作日誌機制都不是很完善。某天使用儲存過程 update 極重要的表格時,忘了加 where 條件,就直接敲下確認鍵執行,所以和刪資料庫也差不了多少。

今年 2 月,微盟研發中心一名核心運維人員透過個人 VPN 登入公司內網跳板機,惡意破壞微盟線上生產環境及數據,導致微盟 SaaS 業務服務突然當機,商家後台所有數據歸零。

事件發生後,微盟股價大跌,累計市值一度蒸發逾 30 億港元。300 萬左右商家數據在騰訊雲協助下,經過 7 天 7 夜努力才找回。3 月初,微盟表示將拿出 1.5 億港元賠償商家損失,其中公司承擔 1 億港元,管理層承擔 5,000 萬港元。

前有微盟後有思科,大企業不斷遭遇被刪資料庫事故,也說明企業在數據安全管理有些問題。但從根本而言,防止刪資料庫落跑的最佳方法,是防患於未然,將資訊安全和員工關懷放在最前面。

專家的預防措施主要有以下三方面:

第一,事前預防:要統一入口,做到帳號和權限分配管理,並要每人獨立帳號和權限,細化至每個人能做什麼、不能做什麼。同時在統一平台把已知的高危險操作都攔截,如 rm -fr 等。

第二,事中發現:透過配置審計規則,警示會變更系統的操作示,同時要對系統進行完整性等健康監控。

第三,事後容災:對企業而言,數據是核心,有數據才能在災難後恢復系統。備份一定要全量備份、增量備份、異地備份等,最好多機房備份。

當然,即便有完備的預防措施,刪資料庫事件也不可能一勞永逸,還是要解決企業與員工之間的矛盾。

(本文由 雷鋒網 授權轉載;首圖來源:pixabay