一名程序员因不满北京摇号政策,利用网站漏洞非法获取92万余个手机号,造成严重社会影响,被控破坏计算机信息系统罪。
新京报报道,去年底攻击北京机动车摇号网站的程序员张利斌昨天在北京法院受审。
张利斌1981年出生,曾是山东文登市高考状元,北航计算机硕士毕业。毕业后几乎每年换一份工作,在互联网信息中心任工程师期间曾擅自改动域名注册系统。后因生二胎辞职,在家创业,开发了名为“小兵挂号”的软件,不太成功,加之父母生病,家庭压力很大。
之所以想到攻击摇号网站,是因为“名下的车卖了获得购车指标后,没有及时换车,指标便过期了,而妻子一直摇号不成功,逐渐对北京摇号政策不满”。
在昨天的庭审上,张利斌自称,“我和爱人都是高级知识分子,虽然有一技之长,但却没有学会如何遵守法律。”
公诉机关指控,张利斌于2012年12月23日3时至13时许,在其位于朝阳区育慧的家中,利用计算机网络远程控制技术及自编的计算机程序软件,向北京市小客车指标调控管理信息系统网站“忘记密码”功能中的“获取短信验证码”链接,恶意访问达3000余万次,非法获取网站注册申请人的手机号码92万余个,造成网站向注册申请人的手机号码发送短信验证码92万余条,系统关闭“忘记密码”功能达2小时30分,造成北京市交通委员会短信资费损失4万余元及严重的社会影响,应以涉嫌破坏计算机信息系统罪追究其法律责任。
事件回放
2012年底,他在一次登录小客车摇号网站时,发现网站“密码找回”功能存在漏洞——随意输入手机号,就可以让系统发送验证码。出于职业特性,他发现网站漏洞后,就考虑着如何利用漏洞做一些对自己有利的事。
首先,他想到泄愤。他说,自己曾把名下的车卖了获得购车指标后,没有及时换车,指标便过期了,而妻子一直摇号不成功,他逐渐对北京摇号政策不满,想攻击网站。
其次,他正苦于如何推广“小兵挂号”,希望设计一款软件,通过“获取短信验证码”的方式探测哪些用户注册了摇号系统,以获取大量有效的手机号,群发短信推广他的软件。
为了完成操作,他花了几天时间:在网上找出了北京地区手机号段的起止范围,找到了5000多万个手机号码,还找了300多个代理IP写入自己的“攻击”程序里。
23日凌晨,他便进行实操了。通俗讲,就是用他开发的软件模拟“忘记密码”的申请人,在“找回密码”项目中填写手机号。如果输入的手机号是在网站上注册过的摇号申请人,那么,在申请人莫名获得验证码的同时,他在后台能获取“短信验证码已发送”的反馈,可用的号码会自动保存到他的文件里。就这样,他获取了92万余在摇号网站注册的手机号。
非法获取92万余手机号步骤
1 在网上搜出北京地区手机号段的起止范围,找到5000多万个手机号,并写“攻击”程序,还找了300多个代理IP写入程序
2 利用网络远程控制技术及自编软件,在北京市小客车指标调控管理信息系统网站上,模拟“忘记密码”的申请人,在“找回密码”项目中填写手机号
3 如果手机号是在网站上注册过的摇号申请人,该号码会自动保存,如果未注册过,则看到“手机号码未注册”字样。共获取92万余个可用号码
4 在获取的92万余条手机号码中,向其中的7000多个号码群发短信,推广其研发的“小兵挂号”软件
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
