华夏银行技术处长案细节披露；庆祝春节，谷歌涂鸦教用户学皮影戏

(给技术最前线加星标，每天看技术热点)

转自：开源中国、solidot、cnBeta、腾讯科技、快科技等

0、华夏银行技术处长案细节披露

在 1 年多时间里，该程序员利用漏洞多次跨行 ATM 机取款，涉及金额高达 700 余万元。技术最前线之前也有报道。

　　

案发后，该程序员一再坚称，他只是在未报备的情况下违规进行了银行漏洞测试。究竟是程序员“单纯”的测试 BUG，还是秘密窃取银行财物呢？

　　

被怀疑后谎称是做测试

　　

43 岁的覃其胜曾是华夏银行科技开发中心开发四室经理，拥有让人羡慕的工作和家庭；但是他口中所谓的测试系统漏洞，却掩盖不住秘密窃取银行财物的事实。

　　

在北京市朝阳区环球金融中心华夏银行科技开发中心内，覃其胜偷用他人账户，进入华夏银行核心系统，将 ai 、tmp_hxb、aix.sh 和 hxb_tmp.sh 四个文件植入到生产环境，其中前两个文件是纯文本，后两个是可执行脚本，主要功能为通过执行 aix.sh 脚本切换用户及配置环境，并调用 hxb_tmp.sh 脚本，在数据库中修改卡号尾号为 2849 的相关操作记录。

华夏银行的核心业务系统是从国外引进的，设计的时候没考虑夜间交易的问题，而华夏的对外金融服务由夜间模式及日间模式共同完成，日间模式下，日间库负责对外金融服务。每日 22 时 30 分左右切换到夜间模式，日间库进行批量业务处理（结息、约定转存等），夜间库负责对外金融服务。日间库批量业务处理完成后，凌晨 0 时 30 分左右系统切换到日间模式，将夜间模式下发生的成功金融业务从夜间库追加至日间库中，由日间库继续负责对外金融服务。

覃其胜发现其中存在一个时间差，指定卡在夜间模式下正常发生交易，脚本在核心系统切换到日间模式之前执行，将指定卡在夜间模式下已成功交易的核心账务系统夜间库中核心交易流水状态改为失败。核心系统切换回日间模式后，由于这些交易的状态为失败，在处理夜间模式发生的金融业务时，未追加指定卡的实际已成功取款账务。利用脚本和这一漏洞，覃其胜先后在 22 时 30 分后了实施 1000 多次跨行 ATM 机取款行为（他也雇佣了其他人帮他取款），累计取款人民币 717.9 万元。

　　

而这一年多的时间，覃其胜一直在所谓的测试系统漏洞。测试中涉及的资金本该设立专门账户保管，但是覃其胜直接将资金取出后自用，直到一年后，华夏银行发现问题。

　　

华夏银行分管信息技术部、开发中心的首席信息官王某称，初步核查发现，有人通过木马程序在生产系统中通过 ATM 机非法盗取银行资金，涉案 700 余万元。案件发生地正是北京市朝阳区环球金融中心华夏银行科技开发中心。

　　

华夏银行发现问题后找覃其胜谈话，覃其胜谎称在测试是否存在漏洞。覃其胜说，在系统里放了一个测试程序，通过该程序，他实际操作用银行卡跨行取现。

　　

王某称，按照华夏银行规定，测试有可能会在生产环境里做，但需要有相应的报告、专门的流程；由专门的部门来做，不会由覃其胜来做。“实际测试会根据不同的要求来确定取现金额，覃其胜的行为已经严重违反规定，不符合测试的规范要求。”

　　

到这个时候，覃其胜仍坚持表示，这事本身比较复杂，工作量也大，认为上报了银行也不会关注，就没有汇报。

　　

覃其胜称，他从 2016 年 11 月开始取款，一直到 2017 年 10 月；取款会有取款成功也计入到账户的时候，所以取款数目不定，有时每日取 5000 元、有时取 2 万元；一共取了 1000 多笔，共有 719.2 万元。

　　

被判处有期徒刑十年六个月

　　

北京市朝阳区人民法院认为，首先，覃其胜偷用他人账户进入华夏银行的核心系统植入漏洞、修改用户信息后，使其控制的特定银行卡夜间跨行 ATM 机取款不计入该卡账户；将取得的钱款用于个人理财、归还债务等，其行为系秘密窃取华夏银行的财物。

　　

其次，被告人覃其胜没有在生产环境进入核心系统的职权。被告人覃其胜负有对核心系统功能和优化升级进行设计、开发、测试等职权，但覃其胜的职务没有使其直接在生产环境下进入核心系统的便利。

　　

最后，覃其胜对银行资金没有管理的职权。覃其胜是被害单位的技术人员，保管银行资金不在其职权范围内；即使在测试中涉及资金问题，按照被害单位的管理要求也应该设立专门账户保管，而覃其胜直接将涉案资金取出后自用。

　　

值得注意的是，覃其胜已退赔华夏银行该事件中的所有经济损失。

　　

综上，北京市朝阳区人民法院认为覃其胜盗窃公司财物，数额特别巨大，其行为已构成盗窃罪，依法应予惩处。法院判决覃其胜犯盗窃罪，判处有期徒刑十年六个月，罚金人民币一万一千元，剥夺政治权利二年。

　　

一审宣判后，覃其胜不服判决提出上诉，称其只是在未报备的情况下违规进行了漏洞测试，通过测试也实际发现了系统漏洞，其没有非法占有的目的，不构成盗窃罪。北京市第三中级人民法院认为一审事实清楚，量刑适当，裁定驳回上诉维持原判。

1、庆祝农历新年：谷歌涂鸦教用户学皮影戏

北京时间2月4日早间消息，据美国科技媒体9to5 Google报道，为了庆祝2019农历新年，谷歌涂鸦（Google Doodle）本周二引入一项人工智能试验，以创新的方式利用手机前置摄像头，来教用户玩皮影戏。皮影戏是中国一种讲故事的古老艺术方式，利用剪影、人物和音乐来表现文化历史。剪纸或手势放在光源前，投影在半透明的屏幕上。

去年，谷歌开发了一种互动艺术装置，利用TensorFlow和TPU处理器来识别用户的手势，并将影子图形转换为中国十二生肖的数字动画。

2019年春节，谷歌将这种体验移植到一款基于浏览器的游戏中，教用户如何将摆出不同手势去演皮影戏。Shadow Art利用TensorFlow.js，在任何带前置摄像头的手机或笔记本的浏览器中直接运行机器学习模型。

用户用手在笔记本或手机摄像头前摆出十二生肖中的一种，将手势与屏幕上的图形相匹配。随后，用户手的影子就会变成皮影戏木偶。

Shadow Art提供11种语言的版本，而相关的谷歌涂鸦将于2月5日在美国、加拿大、欧洲和整个亚洲推出。在谷歌搜索上线之前，用户也可以直接访问该游戏。

2、开源分布式 SQL 查询引擎 Presto 成立软件基金会

Presto 是 Facebook 开源的一个大数据的分布式 SQL 查询引擎，可对从数 G 到数 P 的大数据进行交互式的查询，查询速度达到商业数据仓库级别。Presto 以其高性能而闻名，它使公司可以在任何地方对数据执行交互式查询，并可轻松扩展以适应最大和最复杂的企业数据集。知名用户包括 Airbnb、Facebook、LinkedIn、Lyft、Netflix、Twitter、Uber 与沃尔玛等。

“从一开始，我们就强调了代码质量、架构可扩展性以及与社区的开放式协作的重要性”，Presto 的共同创建者和 Presto 软件基金会的联合创始人 Martin Traverso 表示：“随着 Presto 用户群和 Presto 开发者社区在过去几年中的快速扩张，建立非营利组织将这些价值制度化是确保该项目经得起时间考验的下一个合乎逻辑的步骤。”

Presto 软件基金会致力于保护由全球开放、协作和独立的开发人员社区开发的高质量、高性能和可靠软件的愿景。该基金会将由 Presto 的三位创作者 Martin Traverso、Dain Sundstrom 和 David Phillips 领导。创始成员包括 Starburst Data、Arm Treasure Data、Qubole 和 Varada 的工程师。在接下来的几周内，Presto 软件基金会将开始定期召开会议，将社区聚集在一起协调开发工作。

觉得这些资讯有帮助？请转发给更多人

关注 技术最前线 加星标，看 IT 要闻

喜欢就点一下「好看」呗~