Quản lý phần mềm lợi dụng lỗ hổng trong ngân hàng mình đang làm việc để trộm 1 triệu USD, lĩnh án tù 10 năm

Lợi dụng một lỗ hổng bảo mật trong hệ thống máy ATM của ngân hàng Huaxia Bank, một nhà quản lý phần mềm người Trung Quốc đã ăn trộm khoảng 1 triệu USD từ các máy này và đã bị kết án vì tội danh đó.

Điều đáng nói là chính ngân hàng Huaxia Bank lại là nơi làm việc của nhà quản lý 43 tuổi này. Theo báo cáo từ SCMP, nhà quản lý này – tên Qin Qisheng – đang làm việc trong trung tâm phát triển công nghệ và phần mềm của ngân hàng khi phát hiện ra một "kẽ hở" (loophole) trong hệ điều hành lõi của ngân hàng, cho phép rút tiền mà không bị ghi lại về khung thời gian.

Năm 2016, Qin nhận ra rằng việc rút tiền mặt vào lúc gần nửa đêm sẽ không được hệ thống của ngân hàng ghi lại, và cùng năm đó, ông ta bắt đầu tìm cách lạm dụng kẽ hở này một cách có hệ thống.

Qin sẽ phải chịu án tù 10 năm 6 tháng cho hành vi của mình.

Qin viết một số đoạn script, để khi được cấy vào phần mềm của ngân hàng, chúng sẽ cho phép ông ta thử nghiệm kẽ hở đó mà không gây ra nghi ngờ.

Các báo cáo cho thấy, dường như việc thử nghiệm đã thành công khi nhà quản lý phần mềm này có thể thực hiện việc rút tiền trong hơn một năm với số tiền từ 740 USD cho tới 2.965 USD.

Số tiền đó phải đến từ một tài khoản nào đó, và vì vậy Qin sử dụng một "tài khoản giả" (dummy account) do ngân hàng tạo ra với các mục đích kiểm tra.

Cơ quan thực thi pháp luật Trung Quốc cho biết, tổng cộng nhà quản lý này có thể đã lấy được tới hơn 7 triệu Nhân dân tệ, tương đương gần 1 triệu USD.

Cuối cùng, ngân hàng Huaxia Bank cũng phát hiện ra kế hoạch này, nhưng Qin đã cố giải thích rằng, việc làm của mình chỉ là "các bài kiểm tra an ninh nội bộ." Còn về số tiền, ông ta cho biết, chúng hiện đang nằm trong tài khoản của mình, nhưng sẽ được hoàn trả lại cho ngân hàng đúng hạn.

Điều thú vị hơn vị hơn cả là tổ chức tài chính nà đã chấp nhận lời giải thích của nhà quản lý này và khắc phục kẽ hở. Tuy nhiên, cơ quan thực thi pháp luật lại không tin vào câu chuyện đó và cuối cùng đã bắt giữ ông ta vì tội trộm cắp vào tháng 12 năm 2018.

Qin bị tuyên án 10 năm 6 tháng tù giam và khi kháng cáo, bản án được giữ nguyên.

Ngân hàng Huaxia yêu cầu chính quyền Trung Quốc bác bỏ vụ án khi số tiền được trả lại, cũng như mọi hành vi pháp lý đã được phục hồi. Yêu cầu này không được cơ quan thực thi pháp luật xem là "hợp pháp" và vì vậy, Qin vẫn phải chịu mức án của mình.

Các điểm yếu trong phần mềm không phải phương pháp duy nhất để những tên tội phạm buộc các máy ATM phải nhả tiền ra. Năm ngoái, các nhà nghiên cứu phát hiện ra một loạt malware được thiết kế riêng cho việc tấn công các máy ATM được rao bán trên Dark Web với mức giá gần 25.000 USD.

Tham khảo ZDNet