大家可能对前阵子支付宝的「赚钱红包」活动略有印象,活动大概就是这样的:支付为每个用户生成一个专用二维码,别人扫你的二维码就可以获得一个红包。而当对方消费时,你也将获得一个等额红包。但扫到后来也就一两毛钱,许多人就觉得没啥意思。
但前几天爆出一个新闻,说是浙江余姚一个 90 后小伙却发现了这个活动的一个漏洞,在短短两天之内,通过这个活动非法获得赏金 90 余万元!
这个 90 后小伙陈某发现:在某个支付宝页面中输入任意一个手机号码,支付宝后台服务器便会误以为该用户扫描了陈某的二维码,只要该用户在使用支付宝时抵用了这个红包,陈某的支付宝账号便可以获得同等额度的赏金。
于是陈某便写了一个脚本,通过穷举手机号码的方式,让自己的支付宝绑定了无数个手机号码,从而在两天之内获取了 90 余万元的赏金。
当然支付宝也不是吃素的,支付宝通过人工核查发现某些数据出现了异常,而相关用户的IP地址在余姚,立刻向余姚市公安局报案。目前陈某该案件已经由公安机关已侦查完毕,并以破坏计算机信息系统罪,向余姚市人民检察院移送审查起诉。
这个新闻出来之后,很多技术人员质疑支付宝,明明是支付宝活动出的问题,为什么陈某要承担法律责任呢?甚至有人将这件事情与之前柜员机故障吐钱被抓联系在一起。
但作为一个知法懂法的四有青年,我不仅不质疑,我还要拍手叫好!
《中华人民共和国刑法》第二百八十六条对于「破坏计算机信息系统罪」的描述是这样的:
破坏计算机信息系统罪是指违反国家规定,对计算机信息系统功能或计算机信息系统中存储、处理或者传输的数据和应用程序进行破坏,或者故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的行为。
联合这次事件,我们可以明显知道陈某对支付宝的计算机系统中存储的数据进行了「破坏」,干扰了计算机系统的正常运行,并且该行为是具有主观的恶意,为了非法牟利。
这次事件不禁让我想起了前几年的「世纪佳缘白帽子」事件。
乌云漏洞平台的白帽子袁炜,在去年12月份向乌云提交了其发现的婚恋交友网站世纪佳缘的系统漏洞。在世纪佳缘确认、修复了漏洞并按乌云平台惯例向漏洞提交者致谢后,事情突然发生转折。世纪佳缘在一个多月后以「网站数据被非法窃取」为由报警。4月份,袁炜被司法机关逮捕。
因为我们并不是当事人,所以对于具体的细节也不得而知。但从外传的部分资料我们应该可以大概得知,可能袁炜为了确认漏洞的真实性,获取了部分的数据。
从上面提到的「破坏计算机信息系统罪」可以知道,在没有免责声明的情况下,如果你通过非法手段获取了数据或者修改了数据,那么就存在对应的法律风险。
其实现在很多互联网厂商已经很重视系统安全,还专门开设了相应的漏洞提交平台。例如阿里巴巴的漏洞提交平台:阿里安全响应中心。通过该平台你能提交发现的漏洞,并能获取响应的金币奖励。
而腾讯也有响应的漏洞提交平台:腾讯安全应急响应中心
作为一个技术工作者,接二连三的事件告诉我们:不懂法并不能成为技术无罪的挡箭牌。我们在做相应的操作之前,一定要了解相关的法律法规,这样才不会让自己处于不利位置。
而作为一个技术工作者,我们应当掌握专业的漏洞处理姿势,而不是用来牟利。所以下次如果你发现漏洞了,请控制自己的贪欲,果断向官方提交漏洞!