知識星球大家可能對前陣子支付寶的「賺錢紅包」活動略有印象,活動大概就是這樣的:支付為每個使用者生成一個專用二維碼,別人掃你的二維碼就可以獲得一個紅包。當對方消費時,你也將獲得一個等額紅包。
當時很多人覺得也就一兩毛錢,沒什麼意思。但前幾天爆出一個新聞,說是浙江餘姚一個 90 後小夥卻發現了這個活動的一個漏洞,在短短兩天之內,透過這個活動非法獲得賞金 90 餘萬元!
這個 90 後小夥陳某發現:在某個支付寶頁面中輸入任意一個手機號碼,支付寶後臺伺服器便會誤以為該使用者掃描了陳某的二維碼,只要該使用者在使用支付寶時抵用了這個紅包,陳某的支付寶賬號便可以獲得同等額度的賞金。
於是陳某便寫了一個指令碼,透過窮舉手機號碼的方式,讓自己的支付寶系結了無數個手機號碼,從而在兩天之內獲取了 90 餘萬元的賞金。
當然支付寶也不是吃素的,支付寶透過人工核查發現某些資料出現了異常,而相關使用者的IP地址在餘姚,立刻向餘姚市公安局報案。目前陳某該案件已經由公安機關已偵查完畢,並以破壞計算機資訊系統罪,向餘姚市人民檢察院移送審查起訴。
這個新聞出來之後,很多技術人員質疑支付寶,明明是支付寶活動出的問題,為什麼陳某要承擔法律責任呢?甚至有人將這件事情與之前櫃員機故障吐錢被抓聯絡在一起。
但作為一個知法懂法的四有青年,我不僅不質疑,我還要拍手叫好!
《中華人民共和國刑法》第二百八十六條對於「破壞計算機資訊系統罪」的描述是這樣的:
破壞計算機資訊系統罪是指違反國家規定,對計算機資訊系統功能或計算機資訊系統中儲存、處理或者傳輸的資料和應用程式進行破壞,或者故意製作、傳播計算機病毒等破壞性程式,影響計算機系統正常執行,後果嚴重的行為。
聯合這次事件,我們可以明顯知道陳某對支付寶的計算機系統中儲存的資料進行了「破壞」,幹擾了計算機系統的正常執行,並且該行為是具有主觀的惡意,為了非法牟利。
這次事件不禁讓我想起了前幾年的「世紀佳緣白帽子」事件。
烏雲漏洞平臺的白帽子袁煒,在去年12月份向烏雲提交了其發現的婚戀交友網站世紀佳緣的系統漏洞。在世紀佳緣確認、修複了漏洞並按烏雲平臺慣例向漏洞提交者致謝後,事情突然發生轉折。世紀佳緣在一個多月後以「網站資料被非法竊取」為由報警。4月份,袁煒被司法機關逮捕。
因為我們並不是當事人,所以對於具體的細節也不得而知。但從外傳的部分資料我們應該可以大概得知,袁煒可能為了確認漏洞的真實性,獲取了部分的資料。
從上面提到的「破壞計算機資訊系統罪」可以知道,在沒有免責宣告的情況下,如果你透過非法手段獲取了資料或者修改了資料,那麼就存在對應的法律風險。
其實現在很多網際網路廠商已經很重視系統安全,還專門開設了相應的漏洞提交平臺。例如阿裡巴巴的漏洞提交平臺:阿裡安全響應中心。透過該平臺你能提交發現的漏洞,並能獲取響應的金幣獎勵。
而騰訊也有響應的漏洞提交平臺:騰訊安全應急響應中心。
作為一個技術工作者,接二連三的事件告訴我們:不懂法並不能成為技術無罪的擋箭牌。我們在做相應的操作之前,一定要瞭解相關的法律法規,這樣才不會讓自己處於不利位置。
而作為一個技術工作者,我們應當掌握專業的漏洞處理姿勢,而不是用來牟利。所以下次如果你發現漏洞了,請控制自己的貪欲,果斷向官方提交漏洞!
