最近，英國獨立電視臺（ITV）的一部新?。∕r Bates vs. The Post Office）引發(fā)了英國無數(shù)國名的憤慨，也揭開了英國郵局（Post Office）十幾年來一直試圖掩蓋的丑聞。

英國郵局（圖片來源于上觀新聞）

Mr Bates vs. The Post Office根據(jù)真實事件改編，講述了英國郵局因為采購的系統(tǒng)存在漏洞，導致數(shù)百人鋃鐺入獄、多人自殺，數(shù)百個家庭因此傾家蕩產(chǎn)，該案件也被認為是英國最嚴重的冤假錯案之一。

被冤枉的代理商及其家人（圖片來源于上觀新聞）

一個系統(tǒng)BUG導致的冤假錯案

英國郵局具有數(shù)百年的悠久歷史，是英國政府非常重要的基層機構(gòu)，一直為英國人提供不可或缺的服務(wù)。

但在千禧年后，在信息技術(shù)的沖擊下，郵政業(yè)務(wù)量驟減，連年虧損。為節(jié)約成本，郵局通過特許經(jīng)營等方式，讓普通民眾做代理商，但他們不屬于郵局的正式雇員，民眾可通過郵局代理商領(lǐng)取養(yǎng)老金等。

超市里的英國郵局柜臺（圖片來源于上觀新聞）

為了讓代理商模式順利推行下去，英國政府在1999年耗費10億英鎊購買了地平線（Horizon）計算機會計系統(tǒng)。該系統(tǒng)由由英國企業(yè)ICL開發(fā)的，2002年ICL被日本富士通公司并購，“地平線”系統(tǒng)就成為了富士通旗下的產(chǎn)品。

到 2000 年 8 月，該系統(tǒng)已在英國的 10000 個分支機構(gòu)中推廣，并于 2000 年和 2001 年部署到 13000 多個郵局分支機構(gòu)，每天需要處理數(shù)百萬筆交易。

但萬萬沒想到，這個系統(tǒng)存在巨大的漏洞，數(shù)據(jù)記錄不正確。你敢信，一個耗費10億英鎊購買的財務(wù)系統(tǒng)，竟然會出現(xiàn)數(shù)據(jù)記錄不正確的問題。很快，代理商們在操作系統(tǒng)時發(fā)現(xiàn)，代發(fā)的養(yǎng)老金賬戶數(shù)額有誤，總是會有一部分錢不見了。

當這些信息反饋至英國郵局后，調(diào)查人員認為是代理商們私吞了這筆錢，并對他們進行立案調(diào)查。數(shù)據(jù)顯示，從2000年至2014年，英國郵局因懷疑700多位代理商在賬戶管理系統(tǒng)“動手腳”，私吞公款，以盜竊、欺詐和做假賬等罪名將他們送進監(jiān)獄。有人為了脫罪不得不支付大量賠償金，有的人則被迫入獄，甚至還有人憤而自殺。

2016年4月，“正義聯(lián)盟”的555位郵局代理商向法院遞交了訴狀，起訴郵局。最終法院認為“在整個涉案期間，地平線系統(tǒng)存在重大問題”。

“英國郵局一直知曉地平線系統(tǒng)的可靠性存在嚴重問題，因此有明確的義務(wù)調(diào)查各項線索的合理性，并應(yīng)考慮披露并向院方解釋任何可能顛覆案件判決的信息。然而在此期間，英國郵局似乎從未充分考慮過對地平線系統(tǒng)提出質(zhì)疑、或者表達相應(yīng)的擔憂。相反，其始終堅稱 Horizon 系統(tǒng)是穩(wěn)定且可靠的”

截至目前，英國郵局已經(jīng)支付 8598 萬英鎊的賠償金，但英國政府并不打算為這起丑聞而與富士通切割，因為它被英國政府視為不可或缺的IT供應(yīng)商。英國海關(guān)總署和稅務(wù)部門已使用富士通的系統(tǒng)幾十年，英國最大的政府部門——就業(yè)與養(yǎng)老金部也很依賴富士通。

多年垃圾代碼遺留下來的災(zāi)難

據(jù) The Stack 透露，英國郵局因地平線系統(tǒng)漏洞犯下的“涉嫌欺詐罪行”而接受刑事調(diào)查，因此不得不“中止部分將現(xiàn)有軟件遷移至云基礎(chǔ)設(shè)施的轉(zhuǎn)型計劃”，最終導致在 2023 年內(nèi)損失掉 3100 萬英鎊。

而如此巨大的損失額度，相當于英國郵局 2023 年全部重組成本的 81%。2021 年，英國郵局以 4250 萬英鎊的價碼與富士通簽訂了地平線項目擴展合同，并稱其為“高度復雜的遺留平臺，用于編寫軟件的語言版本已經(jīng)嚴重過時，且整體架構(gòu)不夠靈活、導致技術(shù)變革非常困難?！?/p>

時間來到 2022 年，郵局工作人員曾在博客中熱情介紹了其轉(zhuǎn)向亞馬遜云科技的計劃。2021 年的合同也包含對現(xiàn)有服務(wù)協(xié)議的多項修訂，計劃在 2023 年將現(xiàn)有軟件遷移至亞馬遜云科技。但根據(jù)最新披露的數(shù)據(jù)，這項舉措在“燒掉”3100 萬英鎊之后仍宣告失敗。

英國郵局在 2023 年 4 月公開承認，“在將服務(wù)遷移至新云服務(wù)商的過程中，我司遭遇到經(jīng)濟和能力上均無法克服的基礎(chǔ)技術(shù)挑戰(zhàn)?！睘榇?，郵局方面只能再花 1600 萬英鎊選擇續(xù)約。

2023 年 11 月，英國郵局又與富士通續(xù)簽了 3600 萬英鎊的合同，其中提到地平線“是一套極為復雜的平臺，用于編寫軟件的語言嚴重過時，且自身屬于五大系統(tǒng)的集合體——即金融服務(wù)、銀行、政府服務(wù)、郵件和零售。地平線自身的架構(gòu)設(shè)計也極不靈活，導致技術(shù)變革難以推進。”由于只能繼續(xù)使用原有數(shù)據(jù)中心，英國郵局需要對系統(tǒng)進行一番強化，以提供穩(wěn)定性、避免過時并保障業(yè)務(wù)連續(xù)性。

有時候安全漏洞的危害超乎想象

隨著人類對于計算機系統(tǒng)的依賴程度越來越高，安全漏洞帶來的危害也往往超乎我們的想象，對于系統(tǒng)安全漏洞必須保持高度重視。

2017年，WannaCry勒索病毒肆虐全球，引爆互聯(lián)網(wǎng)行業(yè)的“生化危機”。借助“永恒之藍”高危漏洞傳播的WannaCry在數(shù)小時內(nèi)影響近150個國家，一些政府機關(guān)、高校、醫(yī)院的電腦屏幕都被加密，致使多個國家政府、教育、醫(yī)院、能源、通信、交通、制造等諸多關(guān)鍵信息基礎(chǔ)設(shè)施遭受前所未有的破壞。

2021年，log4j2漏洞引發(fā)網(wǎng)安行業(yè)“大地震”。作為目前java全生態(tài)中的基礎(chǔ)組件之一，該漏洞影響多達60644個開源軟件，涉及相關(guān)版本軟件包更是達到了321094個。截止到目前，依舊有很多系統(tǒng)受到log4j2漏洞的威脅。

英國郵局丑聞也告訴我們，漏洞越早修復影響越小。倘若英國郵局人員對業(yè)務(wù)人員的反饋進行嚴謹?shù)陌踩珳y試，及早發(fā)現(xiàn)該漏洞并進行修復，自然也就不會出現(xiàn)如此嚴重的冤假錯案和經(jīng)濟損失。安全左移已經(jīng)是當下網(wǎng)安行業(yè)普遍認可的觀點，在軟件開發(fā)流程中盡早引入安全測試，以便盡早識別問題、解決問題。

還需注意的是，機器也會犯罪，尤其是在AI大行其道的情況下，有時候機器犯罪會比人犯罪帶來更加可怕的后果。