黑客与摇号网
张利斌硕士毕业后先后在外企、互联网信息中心和两家内资公司待过。
虽然张利斌和他妻子都在大公司上班,收入也不低,但他有一块心病,一直想要第二个孩子,后来便到香港生了第二个孩子。但因为这样不符合国家政策,公司方面也因此一直向张利斌施压,2012 年5 月,他又辞去了软件工程师的工作。
从辞职开始,张利斌便把精力投入到独立开发 “小兵挂号” 软件上去。但这款用来在北京市预约挂号平台抢号的收费软件并没有取得预想中的成功。
2012年8月,张利斌在登陆小客车系统时发现可以随意输入手机号让系统发送验证码。职业特性使他敏锐地意识到这是个漏洞,便想利用该漏洞做一些对自己有利的事情。
2012 年12月中旬,张利斌遭遇了一连串不顺心的事:父亲病重住院、儿子生病做手术,自己和妻子一直没摇到购车指标更弄得他心烦意乱。
这时,他记起了小客车指标系统的漏洞,一来想通过这种方式泄愤,二来想从网站弄一些手机号码,好通过给这些号码发短信推广一下小兵挂号。于是从 2012 年中旬起,他便用自己的笔记本电脑开发起了针对小客车系统 “忘记密码” 功能进行攻击的软件。他把这款软件命名为 “digmobile”,即“ 手机挖掘机”。
同时,他还通过百度收集到300 多个北京地区的手机号段,以及300 多个免费的代理 IP。为了这次行动,张利斌还花了400 多美元租用了两台日本服务器以隐藏自己真实的IP地址,然后对程序进行了测试。
几次测试下来,确定自己写的程序没有问题之后,张利斌将编写的程序上传到两个服务器上。该程序会不断重复登录摇号网站,在该网站注册过的手机号码会被程序自动记录下来,并且摇号网站会给该手机号码发送验证短信,声称密码丢失,需要该短信验证找回密码。
软件运行之后,张利斌在电脑旁盯到5点多就去睡觉了。当天早上8点和13点,他又分别观察了两次。中午这次发现摇号网站弥补了之前的漏洞,改成额外需要输入身份证号码了,程序就失效了,于是张利斌就停止了程序。
就这样,从12 月23 日凌晨 3 点一直到程序停止运行,摇号网站接受了3000 多万次恶意访问。而张利斌获取了 90 多万个在网站注册过的手机号码。
“黑客” 不“黑 ”?
12月 23日晚上,张利斌在自己的手机早晚报上看到了关于此事的新闻报道。当时,他意识到事情闹大了,心里也害怕,就把 IP 地址改了。但他又嫌改服务器地址麻烦,只改了一个,加上还有其他事要忙,他就把修改另一个IP地址的事给忘了。
过了三四天,张利斌又通过水木社区网站找了两家短信群发的代理商,从 90 多万个手机号码中提取与自己手机号码相近的 7000 多个手机号,群发了 “小兵挂号” 的推销短信。
令张利斌没想到的是,12月 30日,北京市公安局网络安全保卫总队通过技术手段锁定了他的位置,公安机关随即将其抓获。
公安机关将案件移送检察院时的罪名是破坏计算机系统罪,但是检察院起诉时改成了非法获取计算机系统数据罪。
办案检察官宋迎新解释道:“公安机关认定是破坏计算机系统罪,主要是因为他们认定张利斌的攻击行为之后,网站瘫痪了。但是后来检察院调查的时候发现,是摇号网站为了遏制损失,主动关闭了忘记密码功能。 ”
现场处理该事件的技术人员刘波也在证言里证明,是他采取的关闭系统找回密码功能的应急措施,后来网站系统就恢复了正常。网站“忘记密码”功能关闭了大约2.5个小时,此次恶意访问行为没有造成网站瘫痪。
宋迎新说:“他这个行为是一种攻击行为,属于刑法第二百八十五条第二款‘采用其他技术手段,获取该计算机信息系统存储的数据’。如果是入侵的话,后果更为严重。 ”
检察机关认为没有逮捕必要性,对张利斌作出不予批准逮捕的决定。
“他给我的印象蛮温文尔雅的,很明显的工科男,思想比较简单。他做这个事之前也没有想到会上升到犯罪这么严重的层次,觉得这么大一个网站,几千万次访问没什么问题,不会给网站带来多大影响。 ”办案检察官告诉记者。
互联网从业人士告诉记者:“张利斌采用的是穷举手机号的方法,通过重复对找回密码的URL链接发送请求来筛选注册号码。只是将重复访问的过程自动化而已,技术含量低,也没有入侵服务器,还算不上黑客行为。 ”
为什么张利斌在看到媒体报道以后还找代理商群发短信推广自己的 “小兵挂号” 软件?
检察官说:“一方面是没想到能找到他,另外一方面,他觉得既然已经这么做了,至少也得有些收益,想继续推销这个软件。 ”
“要是没有那么大社会影响的话,从他的犯罪性质来讲不是特别严重的犯罪行为。从他个人来讲,他认为这不是一种攻击,是一种重复登陆的行为。也没想到北京市交通委还要为此付短信费。 ”检察官说道,“庭审阶段,张利斌已赔偿了交通委4万多的经济损失。”
亚太网络法律研究中心主任刘德良教授分析说:“张利斌通过软件间接地获取了有效的手机号码,数量巨大,超出了一般意义上的重复登陆,超出了一般所理解的用户权限,并且想通过发送短信推销自己的软件,目的是非法的,而且具有一定的社会危害性。根据最高院关于办理危害计算机信息系统安全刑事案件的司法解释,符合刑法中的非法获取计算机系统数据罪。其行为是否是重复登陆和犯罪成立与否没有关系。”