อดีตพนักงานซิสโก้ถูกตัดสินจำคุกสองปี จากการแอบเข้าคลาวด์บริษัทลบเซิร์ฟเวอร์ 456 เครื่องเมื่อปี 2018

By: lew

on 12 December 2020 - 11:27 Tags:

Topics:

Cisco

Security

ศาลแขวงสหรัฐฯ ตัดสินโทษ Sudhish Kasaba Ramesh อดีตพนักงานของซิสโก้ที่ลาออกไปเมื่อเดือนเมษายน 2018 แต่กลับถือสิทธิ์เข้าถึงบัญชี AWS ของซิสโก้เอาไว้ และใช้สิทธิ์นั้นลบเซิร์ฟเวอร์ 456 เครื่องออกจากระบบเมื่อวันที่ 24 กันยายน 2018 จนทำให้บัญชี WebEx Team ของบริษัทกว่า 16,000 บริษัทใช้งานไม่ได้ สร้างความเสียหายรวม 2,400,000 ดอลลาร์ ศาลตัดสินโทษปรับ 15,000 ดอลลาร์และจำคุกสองปี

แถลงของกระทรวงยุติธรรมสหรัฐฯ ไม่ได้บอกกระบวนการลบเซิร์ฟเวอร์โดยตรงว่าซิสโก้พลาดที่จุดใด Ramesh จึงยังเข้าควบคุมคลาวด์ได้ แต่บอกเพียงว่าเขาอาศัยโค้ดที่รันจาก Google Cloud บนบัญชีของเขาเองในการสั่งลบ ตัว Ramesh เองยอมรับว่าเขา "ประมาทเลินเล่อ" (reckless) จากการรันโค้ดนี้ ทำให้คาดเดาได้ว่าโค้ดของ Ramesh อาจไม่ได้ตั้งใจลบเซิร์ฟเวอร์โดยตรง และไม่มีข้อมูลลูกค้าซิสโก้รั่วไหลจากเหตุนี้

ค่าเสียหายของซิสโก้คิดเป็นค่าเวลาพนักงานกู้คืนระบบ 1,400,000 ดอลลาร์ และเงินชดเชยให้ลูกค้าจากการที่ระบบใช้งานไม่ได้สองสัปดาห์รวม 1,000,000 ดอลลาร์

ที่มา - Department of Justice

No Description

Hiring! บริษัทที่น่าสนใจ

UpPass

Make User Verification Delightful with no code platform.

AMPOS Solutions (Thailand)

Fast growing B2B startup provided solutions for HRD, talent development, employee engagement and etc

National ITMX Co., Ltd.

A company who provides national payment infrastructure of Thailand, looking for talents.

Comments

By: KuLiKo

on 12 December 2020 - 12:28 #1189494

ทำไมโทษน่ารักจัง เมื่อเทียบกับผลกระทบที่เกิดขึ้น

By: Eastsea on 12 December 2020 - 13:11 #1189496 Reply to:1189494

ก็ถูกแล้วนิครับ พนักงานทำผิดโดยประมาทเลินเล่อ กม.ก็จำกัดความรับผิด หรือละเว้นการรับผิด

เว้นแต่ประมาทเลินเล่อโดยร้ายแรง หรือจงใจให้เกิดความเสียหายถึงไม่ต้องรับผิด

เพราะเป็นพนักงาน ไม่ใช้partnership จะได้มี stake, liability บ.ได้กำไรก็ต้องเอาแบ่ง ทำบ.เสียหายก็ร่วมความรับผิด นี้เป็นแค่พนักงาน บ.ได้กำไร ไม่ต้องแบ่งก็ได้ แค่จ่ายโบนัสตามกม.กำหนด เพราะงั้นเหตุบางอย่างก็ไม่ควรต้องรับผิด

ลองดูพนักงานอาชีพอื่นๆอย่างนักบินนักเดินเรือเกิดเหตุสุดวิสัย ไม่ใช่แค่เสียแค่หลักสิบล้านร้อยล้านนะครับ เรือโดนกันน้้ำมันรั่ว เครื่องบินตกเสียหายระดับหมื่นล้าน ต้องฟ้องพนักงานเจ็ดชั่วโคตรเอาเงินมาคืนหรือป่าว มันเป็นเรื่องของผุ้ลงทุนต้องจัดการความเสี่ยงออกไป ชื้อประกันความรับผิดหรือรับไว้เองเผื่อผลกำไรก็ว่าไป

By: hisoft

on 12 December 2020 - 13:20 #1189498 Reply to:1189496

ตอนเกิดเหตุไม่ได้เป็นพนักงานนะครับ

แต่ผมไม่รู้เหตุที่เกิด เดาไม่ถูกเหมือนกันว่าความรับผิดชอบควรหมายถึงตอนที่เป็นหรือไม่เป็นพนักงานนี่สิครับ

By: lew

on 12 December 2020 - 21:47 #1189528 Reply to:1189498

ผมอ่านจาก press release (หาคำพิพากษาเต็มไม่เจอ บางที DoJ จะลิงก์ให้เลยแต่อันนี้ไม่มี) เข้าใจว่า FBI เอาผิดได้แค่ประมาทครับ อาจจะไปตั้ง trigger อะไรสักอย่างในบัญชีส่วนตัวเอาไว้ตั้งแต่ตอนยังทำงาน แล้วพอไป execute มันเลยลาก production บริษัทร่วง

ถ้าเอาผิดไปในแนวว่ามุ่งหวังผลทำลาย น่าจะโดนหนักกว่านี้

lewcpe.com, @wasonliw

By: hisoft

on 12 December 2020 - 22:37 #1189529 Reply to:1189528

ดังนั้นคดีนี้ผลก็น่าจะหมายถึงว่าคำกล่าวหา "แอบเข้าคลาวด์บริษัทลบเซิร์ฟเวอร์ 456 เครื่องเมื่อปี 2018" อาจไม่เป็นจริง แต่ที่ถูกตัดสินลงโทษก็มาจากความผิดอื่นแทนสินะครับ

By: lancaster

on 13 December 2020 - 00:50 #1189532 Reply to:1189529

ถ้าตามต้นทางใช้คำว่า intentionally นะครับ เข้าใจว่าที่โดนลงโทษหลักๆ น่าจะมาจากตรงนี้ครับ

Ramesh admitted to intentionally accessing the Cisco Systems cloud infrastructure that was hosted by Amazon Web Services without Cisco’s permission on September 24, 2018.

แต่ตรงส่วนที่ลบ server นี่เดาว่าน่าจะรัน deploy อะไรสักอย่างพลาดแล้วมันลั่นไปโดนเองครับ

By: hisoft

on 13 December 2020 - 12:56 #1189554 Reply to:1189532

ขอบคุณครับ

By: nessuchan

on 12 December 2020 - 14:09 #1189505 Reply to:1189494

น่าจะเป็นการลงโทษตามกฏหมาย ครับ ส่วนผลกระทบที่เกิดกับบริษัท ถ้าจะเอาคืนตามนั้นคงต้องฟ้องเองอีกรอบ

By: Regulus

on 12 December 2020 - 14:10 #1189506 Reply to:1189494

น่าจะคดีอาญานะครับ เพราะเป็นโทษจำคุกกับปรับ ส่วนคดีแพ่งที่ต้องชดใช้ค่าสินไหมทดแทนให้กับบริษัทนั่นคนละเรื่อง

Main menu