90后程序員發(fā)現(xiàn)后臺(tái)漏洞　偷“味多美”券網(wǎng)售牟利18萬(wàn)

昨天上午，涉嫌盜竊罪的陳某和楊某在西城法院受審。陳某的家屬及味多美公司代表到場(chǎng)旁聽。

竊取味多美蛋糕券獲利18萬(wàn)

上午9點(diǎn)37分，陳某和楊某被帶入法庭。開庭前，陳某向法官表示，自己的母親情緒不太穩(wěn)定，希望她不要在現(xiàn)場(chǎng)旁聽。法官向陳某母親詢問(wèn)時(shí)，她看了眼年僅20歲的兒子，擦了擦眼淚，表示自己可以控制住情緒。

法庭上，公訴機(jī)關(guān)認(rèn)為，陳某伙同楊某于2017年11月至2018年1月間，通過(guò)互聯(lián)網(wǎng)入侵味多美食品有限公司電商部服務(wù)器，竊取價(jià)值365900元人民幣的蛋糕券電子兌換碼，并刪除服務(wù)器相關(guān)訂單數(shù)據(jù)。后陳某將蛋糕券電子兌換碼通過(guò)電商網(wǎng)站出售共獲利18萬(wàn)元，造成味多美食品有限公司實(shí)際損失257000元。

在此過(guò)程中，楊某為陳某提供了入侵網(wǎng)站及刪除數(shù)據(jù)的計(jì)算機(jī)語(yǔ)言，并未從中獲利。但在入侵服務(wù)器的過(guò)程中，楊某從網(wǎng)站上非法盜取了1302536條公民個(gè)人信息，應(yīng)以侵犯公民個(gè)人信息罪，追究其刑事責(zé)任。

偶然發(fā)現(xiàn)網(wǎng)站漏洞產(chǎn)生歪念

在上海某互聯(lián)網(wǎng)公司從事攻防滲透測(cè)試工作的陳某，只有小學(xué)文化，他表示自己平時(shí)的工作就是對(duì)公司旗下的網(wǎng)站進(jìn)行模擬入侵，對(duì)其網(wǎng)站安全進(jìn)行測(cè)試。

去年11月底，陳某的女朋友想給他買個(gè)蛋糕過(guò)生日，陳某就去網(wǎng)站上搜蛋糕券。因?yàn)槁殬I(yè)敏感，陳某對(duì)味多美公司網(wǎng)站進(jìn)行測(cè)試，發(fā)現(xiàn)其存在漏洞，于是入侵了網(wǎng)站，而味多美公司的網(wǎng)站并非其公司旗下網(wǎng)站。

“開始我是想把這個(gè)漏洞提交到漏洞平臺(tái)上，但是想到也只能獲得二三百元的獎(jiǎng)勵(lì)，而我買的虛擬貨幣賠了錢，就想到用這種方式賺點(diǎn)錢。”陳某表示，隨后他嘗試添加了一張現(xiàn)金卡訂單，發(fā)現(xiàn)成功了，于是想到可通過(guò)這種方式來(lái)獲利。“我就在電商平臺(tái)上發(fā)了一個(gè)訂單，如果有人買，我再去后臺(tái)竊取。”

以陳某自己的能力，原本他只能入侵一個(gè)管理員的賬號(hào)，于是想到找同事楊某幫忙，入侵所有管理員的賬號(hào)密碼。

在法庭上，陳某表示，為了不被查出異常，在自己實(shí)際售賣蛋糕電子兌換碼的過(guò)程中，如果買家要買兩張卡，自己需要竊取10張，從中挑出2張不連續(xù)的，進(jìn)行售賣。而其他的卡，陳某在向楊某咨詢了如何編寫刪除語(yǔ)言后，都給刪掉了。

約三個(gè)禮拜后，陳某找到楊某，說(shuō)自己賺了錢，要分他一點(diǎn)，但是楊某沒(méi)有要。之后，楊某向陳某索要了后臺(tái)賬號(hào)和密碼。

為了學(xué)習(xí)研究 盜取用戶個(gè)人信息

同在上海某互聯(lián)網(wǎng)公司的楊某從事的是編寫計(jì)算機(jī)語(yǔ)言工作，楊某表示，當(dāng)時(shí)陳某找到自己?jiǎn)栆粋�(gè)語(yǔ)句該怎么寫，自己便告訴了他。而平時(shí)二人的工作中，陳某也經(jīng)常會(huì)找楊某請(qǐng)教計(jì)算機(jī)語(yǔ)言方面的問(wèn)題。當(dāng)時(shí)，楊某以為陳某只是為了測(cè)試味多美網(wǎng)站的漏洞，并提交到漏洞平臺(tái)上。

法庭上，法官問(wèn)楊某，之后陳某向他請(qǐng)教刪除語(yǔ)句時(shí)，楊某是否知道陳某是要?jiǎng)h除在味多美網(wǎng)站上的入侵記錄，楊某則表示，自己知道他要?jiǎng)h除入侵記錄，但不知道是不是要?jiǎng)h除盜取蛋糕兌換券的記錄。

“后來(lái)陳某來(lái)找我，說(shuō)他賣蛋糕券掙錢了，問(wèn)我要不要一起做，我拒絕了。說(shuō)要給我錢，我也沒(méi)有要。”楊某說(shuō)，三個(gè)禮拜后，當(dāng)自己發(fā)現(xiàn)陳某的這種行為時(shí)，覺(jué)得這肯定行不通，是在犯罪。“當(dāng)時(shí)我也勸他了，他沒(méi)聽。”

而隨后，在楊某跟著陳某看了眼味多美后臺(tái)時(shí)，發(fā)現(xiàn)里面有大量的蛋糕訂單數(shù)據(jù)。“當(dāng)時(shí)我腦子就有點(diǎn)發(fā)熱，那段時(shí)間我正好在研究大數(shù)據(jù)，就想用這些數(shù)據(jù)做數(shù)據(jù)分析，下載了一份。”楊某表示，程序員是需要自己不斷去學(xué)習(xí)的一個(gè)職業(yè)，如果不主動(dòng)去學(xué)習(xí)，就很容易被淘汰。“所以我下載這些數(shù)據(jù)，只是用來(lái)學(xué)習(xí)研究，并沒(méi)有用做其他用途。”

陳某希望對(duì)同伙從輕處罰

在陳某非法售賣蛋糕電子兌換券期間，味多美公司發(fā)現(xiàn)其線下門店有多名顧客持電子兌換碼兌換蛋糕。一次，在一名顧客持在線下門店一次性兌換2萬(wàn)元的蛋糕券時(shí)，店鋪立即報(bào)警。

經(jīng)味多美公司技術(shù)部門查實(shí)發(fā)現(xiàn)，2017年11月至2018年1月間，其后臺(tái)被入侵，大量蛋糕電子兌換碼被盜取，實(shí)際被異常兌換的兌換碼價(jià)值365900元人民幣。

同時(shí)，在公安機(jī)關(guān)的調(diào)查中，一名從陳某處大量購(gòu)買蛋糕券的人，表示自己一共購(gòu)買了約7萬(wàn)元的蛋糕券，之前的都兌換成功了，但最后一次在門店兌換2萬(wàn)元的蛋糕券時(shí)，因店鋪報(bào)警，沒(méi)有兌換成功。

最后，公訴機(jī)關(guān)認(rèn)為，陳某和楊某以非法占有為目的，以技術(shù)手段入侵網(wǎng)站服務(wù)器，盜竊財(cái)務(wù)且數(shù)額巨大，應(yīng)當(dāng)以盜竊罪追究其刑事責(zé)任。陳某、楊某到案后如實(shí)供述罪行，可以從輕處罰。

楊某在盜竊行為中起輔助作用且未獲利，系從犯，應(yīng)當(dāng)從輕、減輕處罰。楊某入侵味多美網(wǎng)站后盜取公民個(gè)人信息的行為，應(yīng)當(dāng)以侵犯公民個(gè)人信息罪追究其刑事責(zé)任，因其自首，可以從輕或減輕處罰。

公訴機(jī)關(guān)建議，判處陳某盜竊罪有期徒刑七年六個(gè)月至八年六個(gè)月，并處罰金。建議判處楊某盜竊罪有期徒刑四年至五年，并處罰金；侵犯公民個(gè)人信息罪有期徒刑三年至四年，并處罰金。

最終，陳某向法官表示，自己愿意賠償味多美公司的損失，但是自己的家庭條件可能沒(méi)有能力賠償。同時(shí)，盜取蛋糕電子兌換碼都是自己一個(gè)人的想法和行為，楊某并沒(méi)有直接參與，希望法庭能夠?qū)ψ约旱耐�事從輕處理。

楊某則在法庭上表示，因?yàn)樽约旱脑�因�(qū)е铝宋抖嗝拦�司的損失，希望向味多美公司道歉。