3.8 KiB
美国司法部 2025年8月21号 发布的消息。
从司法部发布的消息来看,该名软件工程师试图在公司代码中植入了一个 Java 的无限循环。
无限循环的启动,基于的判断条件是该名程序员的用登录信息从 AD 中删除。
这个循环将导致使用软件系统的公司无法登录账户。当这个逻辑被触发后,导致了数千用户无法登录系统,给公司造成了数十万美元的损失。
为了掩盖自己的行为,该名程序员还删除了所有加密数据,相关的搜索记录等。
最终被判入狱 4 年。
逻辑炸弹
逻辑炸弹 (logic bomb)是一些嵌入在正常软件中并在特定情况下执行的恶意程式码。
这些特定情况包括更改档案、特别的程式输入序列、特定的时间或日期等。
虽然程序员对公司的很多操作可能会有不满,但是真正在代码中使用逻辑炸弹的并不常见,也没有必要。
更多的可能就是删库走人,公司的数据库系统通常会有多层的备份和冗余设计,实际上删库走人的影响没有逻辑炸弹大。
删库走人这个表现实在是太明显,只要数据库连不上,在几秒钟之内就会被发现。
逻辑炸弹的问题更难被发现,因逻辑炸弹的触发通常不会马上被触发,可能是在几个月后。
但代码的历史记录还是会保留,所以当你提交了逻辑炸弹的时候,通常是会被代码的历史查看发现,也是一个非常愚蠢的选择。
代码控制
现在的公司不管是大公司还是小公司,只要涉及到有代码,通常都会使用代码管理工具来对代码进行管理。
每一次代码的提交,分支的合并,都会有明确的记录,同时在合并到代码主分支的时候,会有多个同事对代码进行校验和检查。
从这个事件上可以看到,该程序员服务的公司在代码的管理和控制上,并没有做到完全的流程规范化,以至于这段代码都没有被发现。
当时没有被发现不代表你做的事情是对的,或者以后不能被发现,只是该名程序员利用管理上的漏洞。
采取合理的途径
虽然资本主义国家的公司对员工的裁员通常没有抱有太多的同理心,但是也不代表作为公司员工的你可以随意的向公司进行报复。
任何人都应该采取合适和合理的方法去向公司申请自己正常的利益。
就几天前,加州的一个仓库管理员点燃了仓库中的货物引起大火,从工资和收入的水平角度来说,其实大家也都差不多,为什么别人没有选择这么极端的方式。
但这方法太极端了,而且非常错误,因纵火可能会剥夺其他无辜人的生命。
事情是 2 个方面的,这些年资本对普通人的压榨确实有愈演愈烈的趋势,也希望资本能够通过这些事件能够明白,过度的压榨和剥削最终会损害所有人的利益。
但哪怕是这样,普通人承受的也远远多于资本。