90后程序员发现后台漏洞 偷“味多美”券网售牟利18万

来源:北晚新视觉 编辑:廖今冬 人气: 发布时间:2020-03-12

供职于上海一家网络科技公司的两名网络维护人员陈某和杨某被指控侵入味多美电商部服务器,盗窃了36万余元的蛋糕券电子兑换码。陈某通过“闲鱼”平台将部分兑换码打折出售,获利18万元,给味多美公司造成25万余元损失。今天上午,两名“黑客”在西城法院出庭受审。

杨某(左)、陈某(右)受审

买生日蛋糕“随手做测试”

上午9时30分,陈某和杨某这两个曾经的同事被一起带入法庭,两个人都是“90后”,杨某25岁,陈某只有20岁。别看陈某年轻,但受审时十分镇定。看到母亲在旁听席上抽泣,陈某向法官建议:“我妈妈情绪不好,能不能请她出去?”而陈母坚持看着儿子受审。

检方指控称,陈某伙同杨某于2017年11月至2018年1月间,通过互联网入侵味多美公司电商部服务器,窃取价值365900元的蛋糕券电子兑换码,随后删除了服务器相关订单数据。陈某将蛋糕券电子兑换码通过“闲鱼”平台出售,获利18万元,造成味多美公司实际损失257000元。

陈某日常的工作就是做渗透测试,也就是对自家公司旗下的网站进行模拟黑客入侵,以测试网站的安全性。陈某说,去年11月底,女友准备买个味多美的蛋糕给他过生日。“出于职业敏感,我随手对味多美的网站进行了测试。”陈某自称平时也经常测试一些网站漏洞,用以上传获得奖励,这一次,他原本也是想发现漏洞后提交得些奖励。

陈某随后说了一连串计算机专业术语,描述自己如何侵入味多美网站发现漏洞。

“我发现味多美网站的后台登录权限相当大,可以直接下蛋糕券订单。”陈某说,上传网站漏洞顶多奖励两三百元,而可以随意下单蛋糕券的巨大利益让他头脑发热。

在网站下了一个蛋糕券电子码订单并在闲鱼售出后,陈某找到了生财之道。在此后三个月内,他在闲鱼上发布打折的味多美蛋糕券,有人购买他就再去盗窃,最终窃取了价值36万余元的蛋糕券提货码。

好友帮他写入侵代码

陈某能够盗窃成功,离不开他的同事兼好友杨某的“无私帮助”。以陈某的技术能力,还无法窃取那么多提货券,于是他求助于杨某。杨某的工作是写编程软件,在研究了味多美网站漏洞之后,杨某给陈某写了入侵网站的计算机代码。

法官问陈某:“杨某知道你要侵入味多美网站吗?”“不知道,他也没问原因,可能觉得我就是想测试漏洞吧。”陈某回答:“后来我入侵网站获利了,就想分给他(杨某)一些钱,他没有要。”

杨某在法庭上说,自己并不知道陈某要入侵哪个网站,也不知道他要干吗?“我以为他是弄着玩的。”

“你们作为拥有专业技术的网络维护专业人员,经常这么弄着玩吗?”法官问。“没有。”杨某回答。

“你觉得你的行为是合法的吗?”法官继续追问。杨某承认“不合法”。

杨某说,陈某挣钱后曾让自己一起挣钱。“我知道这是盗窃,我没干,也没拿钱。我也劝他了,没用。”不过,他却帮助陈某写了删除数据的计算机代码。

法官问杨某,既然后来知道陈某侵入了味多美网站,为什么还给他提供删除语言?杨某开始还为自己辩解说以为陈某只是要删除登录日志。“为什么删除日志?”法官追问。杨某举例说:“就好比有个小偷进了家门,要擦掉痕迹……”法官打断了杨某的话:“你举的这个例子非常好,说明你明知他做了违法的事,还帮他。”杨某哑口无言。

下载130多万条客户信息

虽然自己没有在盗窃中获利,但杨某在入侵服务器的过程中,发现服务器上储存着大量用户信息。杨某说:“我当时正在研究大数据,脑袋一热,就下载下来,想做数据分析。”经鉴定,杨某将味多美公司服务器上130万余条客户个人信息打包下载,非法盗取。也因此,除了作为盗窃从犯被指控之外,杨某还涉嫌侵犯公民个人信息罪。

杨某说,他下载这些公民个人信息,绝对没有出售或给他人使用过。“我私下也接一些商城的数据分析的活,就拿这些资料做了个统计,不同地区的人消费能力之类的。我就是为了学习,这个行业你不学习就会被淘汰。”

陈某还在一边为朋友“辩护”:“他只是下载了一些公民个人信息,没有参与我的盗窃行为。”

陈某大量盗窃蛋糕券,味多美公司的网络维护人员也发现了后台登录异常,电子提货码数量不对。几天后,正好有客户在门店一次性兑换上万元的提货券,味多美公司立即报警。购买者自称都是从“闲鱼”平台上买来的券,警方顺藤摸瓜,抓获了陈某和杨某二人。

检方认为,应当以盗窃罪追究二人刑事责任,建议判处陈某有期徒刑7年6个月至8年6个月,并处罚金;建议判处杨某有期徒刑4年至5年,并处罚金。对于杨某侵犯公民个人信息的行为,建议判处有期徒刑3年至4年,并处罚金。

在法庭上,陈某自称卖券的钱都被他还债了,如今也无法退赔。杨某则向味多美公司表示了歉意。此案并未当庭宣判。

【延伸阅读】

北京破获涉网案件700余起 严厉打击倒卖个人信息及黑客攻击等

自今年1月26日,北京市公安局启动“净网护网2018”专项行动至今,已经抓获各类嫌疑人480余人,督导网站清理违法有害信息61万余条,破获涉网案件700余起。

在此期间,北京市公安局网安总队及刑侦、治安、经侦、禁毒、机动侦查、环食药旅等部门和各分局,对黄赌毒、非法传销、拐卖人口、诈骗、倒卖公民个人信息、黑客攻击等犯罪活动开展专业化、规模化、根源化打击,取得了初步工作成效。

4月4日,丰台分局接上级部门通报,有网民涉嫌网购伪造的印章。接到案件线索后,丰台分局警务支援大队迅速开展侦查工作并指导属地派出所进行摸排,后在大兴区将嫌疑人郭某某抓获,起获伪造印章9枚、假户口本3本。该人对在网上购买伪造的印章和户口本的违法行为供认不讳,现郭某某已被依法刑事拘留。4月8日10时许,怀柔分局警务支援大队接通报,刘某通过微信微商购买苹果手机时,被诈骗人民币45万余元。接报后,分局警务支援大队在掌握网络线索的基础上,确定嫌疑人为王某某。4月9日,王某某在黑龙江被抓获归案。目前,嫌疑人王某某已被怀柔分局依法刑事拘留。

专项行动开展以来,全局网安系统共破获涉网案件700余起,抓获嫌疑人480余名,其中,打掉网络涉黄、涉赌窝点10个,抓获网络贩毒人员100余名、缴获各类毒品1140余克。

与此同时,网安总队针对电商、寄递、搜索等12类网站,会同网信、广电、文化执法等部门,持续加大监管检查力度,在“房屋短租”类网站、网络直播平台涉黄问题、棋牌游戏类网站涉赌风险高等问题,分别展开了相应工作。对违法有害信息高发的网站,依法给予警告、罚款、关停等行政处罚,消除网络安全隐患。专项行动以来,第一季度实地检查运营商298家次,依法处罚联网单位382家次,关闭违法网络域名1055个、网络账号352个,督导网站清理违法有害信息61万余条。


打赏

取消

感谢您的支持,我会继续努力的!

扫码支持
扫码打赏,你说多少就多少

打开支付宝扫一扫,即可进行扫码打赏哦

责任编辑:廖今冬