用友管理软件用户遭勒索病毒攻击事件继续发酵。9月4日，有媒体发出诘问：“谁需对此负责？”

近日，多个社交媒体以及安全技术社区均有用户称遭遇“.locked”后缀勒索病毒攻击，计算机文件被病毒加密，需支付0.2比特币“赎金”（约2.7万人民币）解锁。本次遭遇勒索病毒攻击的主要是CRM（Customer Relationship Management客户关系管理系统）厂商，包含“用友”及旗下“畅捷通”等管理软件。

目前，已有部分用户通过花费三、四万找第三方公司等方式修复了文件。关于病毒攻击给用户带来的损失，是否应由畅捷通部分承担的问题，成为用户和媒体关注的重点。

公开资料显示，用友网络科技股份有限公司（以下简称“用友”）于1988年成立，以财务软件起家，后转型企业级应用软件（ERP），2001年在上交所上市。据Gartner资料，用友公司是全球ERP TOP10厂商中唯一的亚太厂商，目前在全球 ERP SaaS 市场位居亚太区厂商排名第一。畅捷通是用友旗下成员企业，专注小微企业财税及业务云服务，目前已经服务了超过600万家小微企业，于2014年6月26日在香港联交所上市。

01

漏洞引“投毒”

8月30日，畅捷通发布公告中称，受到勒索病毒攻击的客户的软件服务器“为客户自有部署方式，且未做必要的网络安全防护。”

畅捷通所指的“自有部署方式”，是指客户安装软件后数据存储在本地。畅捷通系列管理软件还有另一种部署方式，“云部署”，也就是把数据存储在阿里云、华为云、腾讯云等各类公有云平台上。

不过，8月29日电脑安全软件开发商火绒安全软件旗下的火绒安全实验室就发文称，监测到疑似借助用友畅捷通T+传播的勒索病毒模块异常活跃（FakeTplus病毒）。火绒工程师排查某勒索现场时发现，病毒模块的投放时间与受害者使用的用友畅捷通T+软件模块升级时间相近，不排除黑客通过供应链污染或漏洞的方式进行投毒。

排查发现，黑客首先会通过漏洞或其他方式向受害者终端投放后门病毒模块。黑客可以通过访问后门模块（Load.aspx）来执行任意恶意模块（恶意模块数据被AES算法加密的）。之后通过后门模块在内存中加载执行勒索病毒。

在被投毒的现场中可以看到，后门病毒模块位于用友畅捷通T+软件的bin目录中。某被投毒现场中，后门病毒模块的被投放时间，与受害用户使用的用友畅捷通T+软件模块升级时间相近。

8月30日，国家信息安全漏洞共享平台（CNVD）也发布了关于畅捷通T+软件存在任意文件上传漏洞的安全公告，称未经身份认证的攻击者可利用漏洞远程上传任意文件，获取服务器控制权限。

而事实上，畅捷通也确实分别于8月29日和8月30日紧急发布了安全补丁修复该漏洞。

02

潜在信任危机

上海申伦律师事务所律师夏海龙表示，如果用户是因第三方恶意侵入系统而遭受损失，则一般应由入侵者承担相关法律责任，判断软件服务商是否需要承担责任取决于其是否存在过错。

如果软件本身存在漏洞或入侵发生后服务商未及时采取补救措施，则软件服务商应当承担一定责任；如果系统遭受入侵是由于用户未能妥善保管账号、密码而发生，则用户就不能仅因此要求服务商承担责任，而只能向侵入者追究责任。

但目前业内的“常规”做法却与之出入较大。

多位网络安全行业从业者称，当前在监管要求不断完善、企业合规意识提高的大背景下，在发生网络安全问题时，正常履行相关安全义务的企业，除了向有关部门及时报告，只需要尽快进行漏洞修复，而不需要承担民事赔偿责任。

另外，目前服务商与客户通常会在采购合同中写明发生安全问题时双方所需承担的责任与义务，按照行业惯例，大部分情况下因网络安全攻击而造成的损失会被视作故障，服务商需要及时进行漏洞修复和处理，但无需对攻击造成的损失进行赔偿。作为软件服务商，确实很难保证自己的产品完全没有安全问题，行业里也没有赔偿的先例。

截至目前，畅捷通仅公告称已安排技术工程师和服务商协助客户解决问题。而一位遭到该勒索攻击并被锁定文件的畅捷通用户表示，目前除了以一个自称畅捷通工作人员的账号在自己的微博下方进行了回复，表示可以反馈至相应工作人员进行安全加固，此外未有任何官方人员与其进行联系。

虽然畅捷通公告称只有“少量T+软件客户收到勒索病毒攻击”，但这件事情的影响可能不会仅仅限于这些用户人均损失2.7万人民币或三四万文件修复费用这么简单。

用户或潜在用户也许会在类似事件中发现，因为这些“行业惯例”、合同免责条款等的存在，各利益相关方责任边界模糊，会导致用户在使用平台的时候，其实可能是处于权益无法得到保障、出了问题就得自己背锅的位置上，因而失去对平台的信赖。

END

更多5G和工业互联网产业相关资讯、研究、深度报道，请关注【5G产业时代】公众号！