案例
100-20×5,这道题的答案本是0。然而在浏阳某大型公司的内部电子交易平台上,由于系统升级时出现漏洞,100-20×5这道题的答案变成了80。该公司副总李某和代理商刘某通过虚拟货币在线交易出现差额的这一漏洞,从公司的电子账户中盗窃人民币1400余万元。
2014年9月,浏阳市公安局经侦大队接到当地某公司报警,称有人利用公司内部电子交易平台升级时的漏洞,通过差额来盗取一种叫“E币”的虚拟货币,前后盗走的“E币”价值1400余万元人民币。前来报警的该公司一名副总介绍,为了方便代理商、经销商及业务员订货、销售和操作,该公司专门设立了一个内部电子交易平台。在这个平台上,经销商和代理商们通过使用一种名叫“E币”的虚拟货币来订购货物或提现。这是一种公司内部用来交易的虚拟货币,一个“E币”价值8元人民币。该公司员工在查账时发现,电子账户中等值于1400余万元人民币的“E币”被盗走。
两名嫌疑人均是“内部人”,李某是该公司副总,刘某是一位代理商,在该公司内部电子交易平台上拥有自己的账号。交易过程中,李某和刘某发现了该平台的一个漏洞,并利用这个漏洞来盗取“E币”。办案民警介绍,这就好比玩一个游戏,首先A玩家拥有一个账户,且账户里有100个虚拟货币。随后,A玩家将账户里的100个虚拟货币,分5次、每次20个,将虚拟货币转给B、C、D、E、F玩家。按道理说,这时A玩家的账户余额应该为0。然而这个系统的漏洞就是,当A向其他5名玩家转账时,系统只扣除了一次转账的虚拟货币,也就是扣除了A向B转账的那一次,余额本该为0的账户里,事实上还剩80个虚拟货币,而这5个账户也都收到了A转出来的20个虚拟货币。
“这样下来,每一次交易都会产生差额。”办案民警说,李某和刘某在这个交易平台上的账户里都有几十万的流动资金,因此每次交易的差额都很大,“一次交易最高能有100多万的差额”。
分析
很多游戏玩家在玩游戏时会发现游戏中的BUG(漏洞),从而反复利用游戏中的BUG来达到增加经验或各种资源的目的,而本案中的嫌疑人利用公司系统中的漏洞,骗取虚拟货币,来兑换现实生活中的货币,可谓有一种“异曲同工之妙”。随着现代企业中运用信息系统来进行运作管理的方式不断普及,如何加强对系统安全性的控制和监督工作,正在成为广大企业面临的一个现实问题。
从本案中不难发现,缺少定期的系统程序测试和与相关方的对账工作,是无法防范这一漏洞的关键因素。信息系统的维护和测试,是保障系统正常运行的必要手段,企业应定期进行系统测试,记录测试过程,以便及时发现系统漏洞,并做出相应的调整,规避因系统漏洞所造成的损失。同时,定期与相关方包括业务部门进行对账,从财务角度及时发现账面金额的差异,从而追寻差异原因。这在本案中也不失为一种检查系统的辅助工作,这样就不会发生嫌疑人连续作案几十次、时间跨度这么长,却没有被发现的状况了。当然,能通过财务对账检查的前提是需要明确财务与业务之间的关键连接点,在一定程度上实现财务与业务的一体化。
除此之外,虽然虚拟货币不是真正意义上的货币,但针对某些企业经营模式和运营需要,虚拟货币成为了人民币的“等价物”,与真实货币存在一定的互相兑换关系。鉴于此,国家应建立相关的监管机制。2009年,文化部与商务部联合下发了《关于加强网络游戏虚拟货币管理工作的通知》,明确规定同一企业不能同时经营虚拟货币的发行与交易,且虚拟货币不得用于购买实物。此外,应用虚拟货币进行交易需要有足够的技术支撑,否则容易出现漏洞,使资金遭受损失。
企业的信息化程度越高,企业对信息技术就越依赖,企业信息系统的重要性也愈加突出。但随之而来的,是信息系统给企业的持续运营所带来的风险也在放大。信息安全问题已经离企业以及人们的生活非常接近。对于个人,需要加强自身的风险防范意识;而对于企业,则需要并且应该定期对自身拥有的信息系统现状进行评估,对信息资产的重要性和风险进行分级,并采取一系列的管理和技术措施来应对信息系统风险。
文 石磊 陈皓 高垚
关注读览天下微信,
100万篇深度好文,
等你来看……
