為了泄憤，“黑”了搖號(hào)網(wǎng)

12月11日，北京市朝陽(yáng)區(qū)法院對(duì)張利斌“黑”掉搖號(hào)網(wǎng)站一案進(jìn)行了判決，張利斌以非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪被判有期徒刑一年，緩刑一年。

這位引起媒體廣泛關(guān)注的北航高材生，高考時(shí)以文登市高考狀元的身份進(jìn)入大學(xué)，又順利考取了研究生，畢業(yè)以后還同同班的女友終成眷屬。用他自己的話來(lái)說，他們夫婦也算是 “高級(jí)知識(shí)分子”。

然而，張利斌的這次“黑客 ”行動(dòng)卻引起了軒然大波，最終導(dǎo)致他被推上了刑事審判的被告席。

“黑” 掉搖號(hào)網(wǎng)站

張利斌碩士畢業(yè)后先后在外企、互聯(lián)網(wǎng)信息中心和兩家內(nèi)資公司待過。

雖然張利斌和他妻子都在大公司上班，收入也不低，但他有一塊心病，一直想要第二個(gè)孩子，后來(lái)便到香港生了第二個(gè)孩子。但因?yàn)檫@樣不符合國(guó)家政策，公司方面也因此一直向張利斌施壓，2012 年5 月，他又辭去了軟件工程師的工作。

從辭職開始，張利斌便把精力投入到獨(dú)立開發(fā) “小兵掛號(hào)” 軟件上去。但這款用來(lái)在北京市預(yù)約掛號(hào)平臺(tái)搶號(hào)的收費(fèi)軟件并沒有取得預(yù)想中的成功。

2012年8月，張利斌在登陸小客車系統(tǒng)時(shí)發(fā)現(xiàn)可以隨意輸入手機(jī)號(hào)讓系統(tǒng)發(fā)送驗(yàn)證碼。職業(yè)特性使他敏銳地意識(shí)到這是個(gè)漏洞，便想利用該漏洞做一些對(duì)自己有利的事情。

2012 年12月中旬，張利斌遭遇了一連串不順心的事：父親病重住院、兒子生病做手術(shù)，自己和妻子一直沒搖到購(gòu)車指標(biāo)更弄得他心煩意亂。

這時(shí)，他記起了小客車指標(biāo)系統(tǒng)的漏洞，一來(lái)想通過這種方式泄憤，二來(lái)想從網(wǎng)站弄一些手機(jī)號(hào)碼，好通過給這些號(hào)碼發(fā)短信推廣一下小兵掛號(hào)。于是從 2012 年中旬起，他便用自己的筆記本電腦開發(fā)起了針對(duì)小客車系統(tǒng) “忘記密碼” 功能進(jìn)行攻擊的軟件。他把這款軟件命名為 “digmobile”，即“ 手機(jī)挖掘機(jī)”。

同時(shí)，他還通過百度收集到300 多個(gè)北京地區(qū)的手機(jī)號(hào)段，以及300 多個(gè)免費(fèi)的代理 IP。為了這次行動(dòng)，張利斌還花了400 多美元租用了兩臺(tái)日本服務(wù)器以隱藏自己真實(shí)的IP地址，然后對(duì)程序進(jìn)行了測(cè)試。

幾次測(cè)試下來(lái)，確定自己寫的程序沒有問題之后，張利斌將編寫的程序上傳到兩個(gè)服務(wù)器上。該程序會(huì)不斷重復(fù)登錄搖號(hào)網(wǎng)站，在該網(wǎng)站注冊(cè)過的手機(jī)號(hào)碼會(huì)被程序自動(dòng)記錄下來(lái)，并且搖號(hào)網(wǎng)站會(huì)給該手機(jī)號(hào)碼發(fā)送驗(yàn)證短信，聲稱密碼丟失，需要該短信驗(yàn)證找回密碼。

軟件運(yùn)行之后，張利斌在電腦旁盯到5點(diǎn)多就去睡覺了。當(dāng)天早上8點(diǎn)和13點(diǎn)，他又分別觀察了兩次。中午這次發(fā)現(xiàn)搖號(hào)網(wǎng)站彌補(bǔ)了之前的漏洞，改成額外需要輸入身份證號(hào)碼了，程序就失效了，于是張利斌就停止了程序。

就這樣，從12 月23 日凌晨 3 點(diǎn)一直到程序停止運(yùn)行，搖號(hào)網(wǎng)站接受了3000 多萬(wàn)次惡意訪問。而張利斌獲取了 90 多萬(wàn)個(gè)在網(wǎng)站注冊(cè)過的手機(jī)號(hào)碼。

“黑客” 不“黑 ”？

12月 23日晚上，張利斌在自己的手機(jī)早晚報(bào)上看到了關(guān)于此事的新聞報(bào)道。當(dāng)時(shí)，他意識(shí)到事情鬧大了，心里也害怕，就把 IP 地址改了。但他又嫌改服務(wù)器地址麻煩，只改了一個(gè)，加上還有其他事要忙，他就把修改另一個(gè)IP地址的事給忘了。

過了三四天，張利斌又通過水木社區(qū)網(wǎng)站找了兩家短信群發(fā)的代理商，從 90 多萬(wàn)個(gè)手機(jī)號(hào)碼中提取與自己手機(jī)號(hào)碼相近的 7000 多個(gè)手機(jī)號(hào)，群發(fā)了 “小兵掛號(hào)” 的推銷短信。

令張利斌沒想到的是，12月 30日，北京市公安局網(wǎng)絡(luò)安全保衛(wèi)總隊(duì)通過技術(shù)手段鎖定了他的位置，公安機(jī)關(guān)隨即將其抓獲。

公安機(jī)關(guān)將案件移送檢察院時(shí)的罪名是破壞計(jì)算機(jī)系統(tǒng)罪，但是檢察院起訴時(shí)改成了非法獲取計(jì)算機(jī)系統(tǒng)數(shù)據(jù)罪。

辦案檢察官宋迎新解釋道：“公安機(jī)關(guān)認(rèn)定是破壞計(jì)算機(jī)系統(tǒng)罪，主要是因?yàn)樗麄冋J(rèn)定張利斌的攻擊行為之后，網(wǎng)站癱瘓了。但是后來(lái)檢察院調(diào)查的時(shí)候發(fā)現(xiàn)，是搖號(hào)網(wǎng)站為了遏制損失，主動(dòng)關(guān)閉了忘記密碼功能。 ”

現(xiàn)場(chǎng)處理該事件的技術(shù)人員劉波也在證言里證明，是他采取的關(guān)閉系統(tǒng)找回密碼功能的應(yīng)急措施，后來(lái)網(wǎng)站系統(tǒng)就恢復(fù)了正常。網(wǎng)站“忘記密碼”功能關(guān)閉了大約2.5個(gè)小時(shí)，此次惡意訪問行為沒有造成網(wǎng)站癱瘓。

宋迎新說：“他這個(gè)行為是一種攻擊行為，屬于刑法第二百八十五條第二款‘采用其他技術(shù)手段，獲取該計(jì)算機(jī)信息系統(tǒng)存儲(chǔ)的數(shù)據(jù)’。如果是入侵的話，后果更為嚴(yán)重。 ”

檢察機(jī)關(guān)認(rèn)為沒有逮捕必要性，對(duì)張利斌作出不予批準(zhǔn)逮捕的決定。

“他給我的印象蠻溫文爾雅的，很明顯的工科男，思想比較簡(jiǎn)單。他做這個(gè)事之前也沒有想到會(huì)上升到犯罪這么嚴(yán)重的層次，覺得這么大一個(gè)網(wǎng)站，幾千萬(wàn)次訪問沒什么問題，不會(huì)給網(wǎng)站帶來(lái)多大影響。 ”辦案檢察官告訴記者。

互聯(lián)網(wǎng)從業(yè)人士告訴記者：“張利斌采用的是窮舉手機(jī)號(hào)的方法，通過重復(fù)對(duì)找回密碼的URL鏈接發(fā)送請(qǐng)求來(lái)篩選注冊(cè)號(hào)碼。只是將重復(fù)訪問的過程自動(dòng)化而已，技術(shù)含量低，也沒有入侵服務(wù)器，還算不上黑客行為。 ”

為什么張利斌在看到媒體報(bào)道以后還找代理商群發(fā)短信推廣自己的 “小兵掛號(hào)” 軟件？

檢察官說：“一方面是沒想到能找到他，另外一方面，他覺得既然已經(jīng)這么做了，至少也得有些收益，想繼續(xù)推銷這個(gè)軟件。 ”

“要是沒有那么大社會(huì)影響的話，從他的犯罪性質(zhì)來(lái)講不是特別嚴(yán)重的犯罪行為。從他個(gè)人來(lái)講，他認(rèn)為這不是一種攻擊，是一種重復(fù)登陸的行為。也沒想到北京市交通委還要為此付短信費(fèi)。 ”檢察官說道，“庭審階段，張利斌已賠償了交通委4萬(wàn)多的經(jīng)濟(jì)損失。”

亞太網(wǎng)絡(luò)法律研究中心主任劉德良教授分析說：“張利斌通過軟件間接地獲取了有效的手機(jī)號(hào)碼，數(shù)量巨大，超出了一般意義上的重復(fù)登陸，超出了一般所理解的用戶權(quán)限，并且想通過發(fā)送短信推銷自己的軟件，目的是非法的，而且具有一定的社會(huì)危害性。根據(jù)最高院關(guān)于辦理危害計(jì)算機(jī)信息系統(tǒng)安全刑事案件的司法解釋，符合刑法中的非法獲取計(jì)算機(jī)系統(tǒng)數(shù)據(jù)罪。其行為是否是重復(fù)登陸和犯罪成立與否沒有關(guān)系。”

“短信騷擾” 造成的社會(huì)影響

張利斌被起訴的重要原因是其“黑客”行動(dòng)造成的社會(huì)影響。

2012年 12 月24 日，各大媒體都對(duì)市民收到小客車指標(biāo)辦短信驗(yàn)證碼事件進(jìn)行了報(bào)道。有部分市民還以為自己搖到了號(hào)，打開官網(wǎng)一查才發(fā)現(xiàn)是空歡喜一場(chǎng)。

事件發(fā)生后，市小客車指標(biāo)調(diào)控管理辦公室發(fā)布一條 “溫馨提示” 稱：近日，小客車指標(biāo)管理信息系統(tǒng)給部分小客車指標(biāo)申請(qǐng)人發(fā)送 “短信驗(yàn)證碼”信息，是系統(tǒng)的一項(xiàng)服務(wù)功能，對(duì)搖號(hào)申請(qǐng)人沒有影響。

然而，這一含糊的聲明卻沒有 “辟謠” 成功。媒體報(bào)道稱很多市民對(duì)此事不解，既然信息確實(shí)是系統(tǒng)正常發(fā)送，為何要選擇半夜發(fā)送？為何已中簽者也收到短信？小客車指標(biāo)辦所說的服務(wù)，究竟是什么服務(wù)？更有市民質(zhì)疑是不是個(gè)人信息泄露了，或是有人非法操縱搖號(hào)。

一時(shí)間，小客車信息系統(tǒng)的 “政策咨詢” 欄目充滿了 “為何無(wú)故收到短信驗(yàn)證碼 ”等問題，經(jīng)統(tǒng)計(jì)這類問題提問人數(shù)共有481 人次。北京市交通委官方微博 “@ 交通北京”在 23日當(dāng)天接到相關(guān)問題私信10 條，評(píng)論 5 條，@約 100 余條。而小客車指標(biāo)辦辦公室接到問詢電話 65 個(gè)，城六區(qū)政府對(duì)外辦事大廳小客車服務(wù)窗口共接到問詢電話 1320 個(gè)，現(xiàn)場(chǎng)咨詢?nèi)藬?shù)達(dá)到 504個(gè)，甚至出現(xiàn)了 122個(gè)為此進(jìn)行“鬧訪 ”的人員。

這次事件引起了北京市委領(lǐng)導(dǎo)的重視，副市長(zhǎng)和公安局長(zhǎng)都做了批示。公安機(jī)關(guān)通過技術(shù)手段偵查于 12 月30 日破獲此案，抓獲犯罪嫌疑人張利斌。

2012年12 月31 日，小客車指標(biāo)辦發(fā)布“情況通報(bào) ”：客車指標(biāo)管理信息系統(tǒng)非正常發(fā)送的 “短信驗(yàn)證碼”手機(jī)短信，我們及時(shí)向公安機(jī)關(guān)報(bào)案，公安機(jī)關(guān)于31 日破獲該案。經(jīng)查，犯罪嫌疑人利用小客車指標(biāo)申請(qǐng)人找回密碼的服務(wù)功能，對(duì)申請(qǐng)人實(shí)施惡意騷擾，系統(tǒng)中的申請(qǐng)人信息沒有泄露。

但是這樣的情況通報(bào)并沒有打消市民的顧慮。據(jù)媒體報(bào)道，對(duì)此 “二度聲明” ，仍有市民不買賬，稱犯罪嫌疑人如何掌握眾多申請(qǐng)人的手機(jī)號(hào)碼進(jìn)行找回密碼 “騷擾” ，為何事發(fā)當(dāng)天小客車指標(biāo)辦發(fā)布的聲明不提及 “已報(bào)案” ，而只說是 “系統(tǒng)服務(wù)功能”如此含糊。

數(shù)字時(shí)代的隱私隱患

市民的擔(dān)憂并非空穴來(lái)風(fēng)。

劉德良總結(jié)出計(jì)算機(jī)、網(wǎng)絡(luò)犯罪發(fā)展的五個(gè)新特點(diǎn)：一、計(jì)算機(jī)犯罪從犯罪對(duì)象上看，非金融類的數(shù)據(jù)成為犯罪分子的新目標(biāo)；二、從目的上講，從原來(lái)的主要為了炫耀技術(shù)轉(zhuǎn)變?yōu)橐阅怖麨槟康模蝗慕M織形態(tài)來(lái)看，趨于組織化、集團(tuán)化，從程序開發(fā)，到盜取客戶信息，再到出售信息或用于詐騙，形成完整的產(chǎn)業(yè)鏈；四、從形態(tài)上看，主要表現(xiàn)為網(wǎng)絡(luò)攻擊和詐騙；五、從年齡上講逐漸趨于低齡化。

而近年來(lái)，電信運(yùn)營(yíng)商、互聯(lián)網(wǎng)企業(yè)、政府部門、域名服務(wù)機(jī)構(gòu)、安全廠商等遭受黑客攻擊導(dǎo)致個(gè)人信息泄露的案例層出不窮。

據(jù)2012年中國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告的不完全統(tǒng)計(jì)，2012 年有50 余個(gè)我國(guó)網(wǎng)站用戶信息數(shù)據(jù)庫(kù)在互聯(lián)網(wǎng)上公開流傳或通過地下黑色產(chǎn)業(yè)鏈進(jìn)行售賣，其中已證實(shí)確為真實(shí)信息的數(shù)據(jù)近 5000 萬(wàn)條。同時(shí)，由于網(wǎng)民習(xí)慣在不同網(wǎng)站使用同樣的賬號(hào)和密碼，受 2011 年年底發(fā)生的 CSDN、天涯社區(qū)等網(wǎng)站信息泄露事件影響， 2012 年又有多個(gè)電商網(wǎng)站和論壇被披露由此導(dǎo)致用戶個(gè)人信息泄露。

規(guī)模最大的一次用戶資料泄密事件是著名的互聯(lián)網(wǎng)程序員社區(qū)網(wǎng)站 CSDN 。

2011年12 月，CSDN 網(wǎng)站的用戶數(shù)據(jù)庫(kù)被黑客公布在網(wǎng)絡(luò)上，其中包括 600 余萬(wàn)個(gè)注冊(cè)郵箱賬號(hào)和與之對(duì)應(yīng)的明文密碼。更有黑客用這些賬號(hào)和密碼去試探其他網(wǎng)站，例如支付寶、QQ 游戲網(wǎng)站，導(dǎo)致使用相同賬號(hào)密碼的用戶遭受經(jīng)濟(jì)損失。

而政府網(wǎng)站同樣是受黑客攻擊的重災(zāi)區(qū)。

據(jù)報(bào)告統(tǒng)計(jì)， 2012 年，我國(guó)境內(nèi)被篡改網(wǎng)站數(shù)量為 16388 個(gè)，其中政府網(wǎng)站有 1802個(gè)，較 2011年分別增長(zhǎng)6.1% 和21.4% ；被暗中植入后門的網(wǎng)站有52324 個(gè)，其中政府網(wǎng)站有 3016個(gè)，較2011年月均分別大幅增長(zhǎng)213.7%和 93.1% 。

政府網(wǎng)站建設(shè)的不完善也使得菜鳥黑客頻頻拿其“練手”。

2010年，一位年僅18 歲的QQ 名字為“h4cker7 雅”的黑客侵入瑞安規(guī)劃建設(shè)局網(wǎng)站，將首頁(yè)置換成一個(gè) “肌肉男” ，其原因是為了 “練手” 和“學(xué)習(xí) ”。他還對(duì)記者說自己至少黑過上百家政府網(wǎng)站。在這之前，來(lái)自內(nèi)蒙古的高中生王少偉黑掉隨州市政府信息網(wǎng)只用了幾秒鐘， “黑” 呼和浩特市人才網(wǎng)和呼和浩特市財(cái)政網(wǎng)，用了兩個(gè)小時(shí)左右。

國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急中心的報(bào)告指出：政府網(wǎng)站易被篡改的主要原因是網(wǎng)站整體安全性差，缺乏必要的經(jīng)常性維護(hù)和安全配置升級(jí)，某些政府網(wǎng)站被篡改后長(zhǎng)期無(wú)人過問，或雖然對(duì)被篡改頁(yè)面進(jìn)行了恢復(fù)，但并沒有真正檢查原因和根除安全隱患，導(dǎo)致多次遭受篡改攻擊。

正是在這樣的背景下，張利斌案引起了市民對(duì)個(gè)人隱私泄露的懷疑和焦慮，并吸引了各大媒體相繼進(jìn)行了報(bào)道，造成了較大的社會(huì)影響。

網(wǎng)絡(luò)犯罪背后的法律困境

在計(jì)算機(jī)、網(wǎng)絡(luò)犯罪不斷發(fā)展的背后是現(xiàn)有法律體系難以有效打擊跨國(guó)跨地域的網(wǎng)絡(luò)攻擊，以及維權(quán)成本和最終賠償與犯罪成本和犯罪收益之間的雙重落差。

劉德良說：“互聯(lián)網(wǎng)犯罪和傳統(tǒng)犯罪形態(tài)不一樣，比如實(shí)施犯罪的服務(wù)器具有跨國(guó)跨地域的特點(diǎn)。這使得追蹤犯罪者的技術(shù)難度高，成本很高。詐騙由于涉及犯罪鏈較長(zhǎng)，還可以通過追蹤銀行賬戶的交易抓獲犯罪分子。但對(duì)于一些網(wǎng)絡(luò)攻擊行為，在現(xiàn)有的法律體制下，很難找到攻擊者。 單純靠一個(gè)國(guó)家的法律很難得到有效的解決，國(guó)際合作非常必要，但由于涉及的因素復(fù)雜，過程會(huì)比較漫長(zhǎng)。”

除了刑法，如果公民個(gè)人信息被泄露被交易，公民能通過其他途徑維護(hù)自己的合法權(quán)益嗎？

“我們傳統(tǒng)上把買賣個(gè)人信息認(rèn)為是侵犯隱私權(quán)，侵犯隱私權(quán)屬于人格侵權(quán)，人格侵權(quán)獲得的救濟(jì)一般是非財(cái)產(chǎn)責(zé)任救濟(jì)。對(duì)受害人來(lái)講，即便贏了官司也賠了錢。所以現(xiàn)在沒有人愿意去維權(quán)。而手機(jī)號(hào)碼是否屬于隱私在目前法學(xué)界還存有分歧，法院也不一定受理。從加害人的角度看，侵權(quán)的成本很低，不用承擔(dān)財(cái)產(chǎn)責(zé)任，客觀上鼓勵(lì)了侵權(quán)。現(xiàn)在還難以找到有效的方式來(lái)解決這個(gè)問題。 ”劉德良分析說。

針對(duì)市民的焦慮，劉德良認(rèn)為可以從兩方面來(lái)解決個(gè)人信息侵權(quán)問題。

第一、我國(guó)實(shí)際已有相關(guān)法律。但由于主要參考了2011年由歐盟和美國(guó)、日本、加拿大等30個(gè)國(guó)家簽署的網(wǎng)絡(luò)犯罪公約，在適用過程中存在一些問題，無(wú)法滿足實(shí)際操作的需求。將來(lái)立法首先是要彌補(bǔ)其中的法律漏洞，完善相關(guān)條文，從而有效打擊竊取、倒賣個(gè)人信息的行為。

第二，在未來(lái)的立法上要承認(rèn)個(gè)人信息的商業(yè)價(jià)值。每次侵權(quán)考慮到受害人的維權(quán)成本，由法律規(guī)定最低賠償數(shù)額比如兩千或三千，如果受害人能夠證明實(shí)際損失超過上述數(shù)額，可以按照實(shí)際損失賠。這樣可以加大侵權(quán)成本，遏制侵權(quán)行為。