员工利用公司系统漏洞盗走2360万.docxVIP

员工利用公司系统漏洞盗走2360万

一、导语：一起“内部人+外部商”勾结的特大盗窃案曝光

近日，最高人民检察院发布的一起企业系统漏洞盗窃典型案例，将一场隐藏两年的“精准作案”推向公众视野——河南省禹州市某建材公司的“超级管理员”员工张某，伙同同事、合作商家，通过篡改系统数据、删除交易记录的方式，悄然盗走公司货款2360万余元。这起案件不仅刷新了当地“利用信息系统盗窃”的金额纪录，更暴露出企业数字化转型中“权限过度集中”“数据监管缺失”的致命漏洞。

二、漏洞源起：超级管理员的“意外发现”

2021年初，禹州市某建材公司因业务扩张需要，引进一套网络销售管理系统，用于整合采购订单、结算货款及存储交易数据。为确保系统正常运行，公司将唯一的“超级管理员”权限（可登录后台、修改订单状态、删除记录等全部操作权限）授予了员工张某——彼时，公司管理层认为“张某是老员工，值得信任”，却未意识到这一决策埋下了“定时炸弹”。

张某在测试系统功能时，意外发现了一个“特殊逻辑”：若将已完成实际交易的订单标记为“作废”，系统会自动将对应货款退回到购买方的“预付金账户”。这一原本用于应对“客户取消订单”的正常功能，在张某眼中变成了“生财之道”——他意识到，只要能找到“配合的购买方”，就能通过“先交易、再作废”的方式，将公司货款转移至他人账户。

三、内外勾结：四人合谋的“盗窃链条”

张某并未将漏洞上报公司，而是第一时间将消息告诉了同事李某。两人合计后，决定寻找“有业务往来的商家”合作——李某随即联系了长期从建材公司采购石料的某销售公司老板王某，三人一拍即合，随后又拉来王某公司的法定代表人连某入伙，形成“内部权限holder+内部牵线人+外部资金接收方”的犯罪链条。

四人的分工极其明确：

张某：利用超级管理员权限，远程登录系统，秘密将王某公司的采购订单标记为“作废”，并删除对应的交易记录（累计删除8635条）；

李某：负责协调双方“交易节奏”，确保“作废订单”的时间避开公司财务核对周期；

王某、连某：接收退回的货款（累计2360万余元），并按照“张某占30%、李某占20%、王某与连某占50%”的比例瓜分赃款。

从2021年3月至2023年2月，四人持续作案近两年，竟未被公司察觉——原因在于，建材公司的财务流程仅“季度核对总账”，未对“订单状态变更”“货款退回”等细节进行实时监控，而张某删除记录的操作，也因“超级管理员权限无审计”而未留下可追溯的痕迹。

四、东窗事发：数据异常引发的“多米诺效应”

2023年2月19日，建材公司财务人员在核对“季度采购数据”时发现：王某公司的“采购量”与“支付货款”严重不符——明明有大量石料运输记录，却没有对应的货款到账。进一步核查系统后台时，财务人员震惊地发现：8635条与王某公司相关的交易记录被人为删除。公司随即向禹州市公安机关报案。

次日，张某因害怕罪行暴露，主动向警方投案，但他坚称“自己利用的是工作权限，应认定为职务侵占罪”，试图将“盗窃”辩解为“利用职务便利侵占”。然而，警方与检察机关的调查，很快戳穿了他的谎言。

五、司法认定：“盗窃罪”的定性与终审判决

对于张某的辩解，许昌市人民检察院给出明确回应：职务侵占罪的核心是“利用职务上的便利，将本单位财物非法占为己有”，而张某的行为是“通过秘密篡改系统数据，将公司货款转移至他人账户”，本质是“以非法占有为目的，秘密窃取他人财物”，符合盗窃罪的构成要件。

2024年10月，许昌市中级人民法院依法作出一审判决：

王某、张某（主犯）：犯盗窃罪，判处无期徒刑，剥夺政治权利终身，并处没收个人全部财产；

李某（从犯）：犯盗窃罪，判处有期徒刑15年，并处罚金50万元；

连某（从犯）：犯盗窃罪，判处有期徒刑7年6个月，并处罚金20万元。

王某等人不服判决，以“定性错误”为由提出上诉。2025年3月，河南省高级人民法院审理后认为“一审认定事实清楚、适用法律正确”，驳回上诉，维持原判。

此外，帮助王某潜逃、转移赃款的田某、王某某、倪某三人，也因犯盗窃罪（共犯）、窝藏罪，分别被判处8年、5年、2年有期徒刑，并处罚金。

六、案例警示：企业数字化转型中的“三大漏洞”

这起案件并非个例——最高检数据显示，2023年以来，全国检察机关办理的“利用企业系统漏洞盗窃案”同比上升41%，其中“内部人作案”占比达68%。该案暴露的企业管理问题，值得所有数字化转型中的企业警惕：

权限管理“一言堂”：超级管理员权限过度集中

建材公司将“超级管理员”权限授予单一员工，未设置“权限分级”（如“订单修改权”与“记录删除权”分离）或“双人审批”机制，导致张某能“一人操作全流程”。

系统审计“空白化”：操作痕迹无迹可寻

该公司的销售系统未开启“操作日志”功能，无法记录“谁在何时修改了订单”，使得张某删除8635条记录的行为长期