网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……

忘记密码
“游侠安全网”创建了网络安全从业者QQ大群(群号:1255197) ,欢迎各位同仁加入!有其它问题如合作等,请联系站长“网路游侠”,QQ:55984512


华商报的采访《咸阳黑客发现安全漏洞 索要240万劳务费被指敲诈》

2012-02-24 13:32 推荐: 浏览: 47 字号:

摘要:   2012年02月24日“华商报”第19版的文章,期间记者也和游侠进行过沟通,文中也有我的一点看法。   位于鸟巢附近的京东商城北京总部。虽然安全漏洞事件对京东的声誉造成了一定的影响,但似乎并未影响到京东商城的业务   2011年底,中国互联网迎来最大一...

  2012年02月24日“华商报”第19版的文章,期间记者也和游侠进行过沟通,文中也有我的一点看法。

  位于鸟巢附近的京东商城北京总部。虽然安全漏洞事件对京东的声誉造成了一定的影响,但似乎并未影响到京东商城的业务

  2011年底,中国互联网迎来最大一次信息泄密事件,1亿多条用户个人信息被“黑客”获取,它们附带的价值超过百亿元。

  在这样的大浪潮中,陕西咸阳一名互联网技术人员发现了京东商城的一个安全漏洞,并索要240万元劳务费,后被警方控制。

  在充满机会的互联网上,却也在诞生着罪恶,但至今没有一则立法能规范企业的责任和保护个人的安全,那么,互联网安全应如何去维护呢?

  当贾伟(化名)离开看守所的时候,他不确定自己到底身犯何罪。

  2011年12月30日,贾伟在陕西咸阳一家制药厂被警方带走,他的老父亲颤颤巍巍地在北京朝阳警方的拘留证上签了字,然后失眠了整整一个月。

  这起事件与中国电子商务(B2C)龙头老大之一的京东商城有关,源自2011年年末的一次互联网用户信息大泄密事件,当时天涯社区、技术开发网站CSDN、垂直游戏门户多玩网、婚嫁交友网站珍爱网等多家网站用户资料被泄露,因涉及人数过亿,被业内人士称之为“脱裤门”(指网站用户账号密码等被泄露,个人信息“裸奔”),而京东商城也没有幸免。

  漏洞的发现者正是贾伟,一个常年混迹于互联网江湖的咸阳籍技术高手,他以此为价码要求京东商城支付240万元,作为给京东商城修复漏洞的劳务费。

  12月28日,京东商城以网络被入侵并被“敲诈勒索”为由,向北京朝阳区公安局报警,警方决定拘留犯罪嫌疑人贾伟。他也成为这起大泄密事件中唯一被追责的陕西“黑客”。

  一个被“价值”240万元的技术漏洞

  现年35岁的贾伟是陕西咸阳人,早前曾“北漂”多年,在互联网业界小有名气,常用网名叫“我心飞翔”。

  2011年4月,贾伟在京东商城网上购物时,无意间发现了京东商城的“后门”(技术漏洞),经验证他发现,此漏洞可获取京东商城所有客户账号和密码及个人信息,随即,贾伟将这一漏洞反馈给京东商城技术人员。京东商城一位技术人员“鱼蛋”随即主动联系贾询问漏洞,并表示将在第一时间内修复。

  贾伟称,这一漏洞京东商城并未完全修复。由于自己长期在京东商城购物,也帮助公司和朋友在京东购物,作为“大客户”,出于自身安全考虑,在此后8个月,贾伟每天登录京东商城两次,查看漏洞是否被彻底修复,然而京东商城一直未做实质性的改变。

  去年12月26日,贾伟与京东商城技术人员再次QQ联系,并告知还存在泄密漏洞,而京东技术人员彻查仍未发现,贾伟遂提出自己可以帮忙修复漏洞,但需要对方支付技术支持费用。该技术人员表示,可以聘请贾为商城高级技术顾问。贾伟则提出按4月到12月31日区间计算,每天要1万元薪酬,但被京东技术人员以“太高了,需要请示”为由婉拒。12月27日,贾伟遂把自己发现的漏洞发布在了中立的安全问题反馈及发布平台乌云网(除事主外,其他用户只能看到该漏洞造成的危害,并不能直接看见是何漏洞),由于京东商城是电子商务网站,不仅涉及到用户的个人资料,并且牵扯到巨大的资金运转。

  一石激起千层浪,京东的这次泄密事件被北京卫视、东方卫视、《财经》杂志、新京报等多家媒体报道,迫于压力,当日下午,京东商城主管技术的副总裁李大学直接通过网络联系贾伟,商谈善后事宜。

  在贾伟和李大学几度交锋后,京东商城验证了自己存在的漏洞,并在乌云网上以官方身份进行了漏洞确认。

  但尽管如此,京东商城内部技术人员还是无法确认具体的漏洞所在。最终,贾伟表示只要聘请自己为高级技术顾问,并支付上述合计约240万元劳务费,自己将为京东商城修复该漏洞。

  也就是这一举动,贾被京东商城视为在赤裸裸地敲诈勒索,并因为用户信息库面临被“窃取”威胁,京东商城选择了报警。12月30日,贾伟被咸阳警方控制,随后被移交北京警方。

  是敲诈勒索还是一个玩笑?

  面对警方,贾伟很诧异:这只是一个玩笑而已,难道真的犯法了吗?

  事发后,贾妻张梅(化名)积极奔走,穿梭于北京和西安两地。张告诉华商报记者:“我老公当时只是觉得京东商城太不顾用户权益了,很生气,所以才开了这么个玩笑。要是真图钱,早把京东商城的用户信息卖了,不会坐下来跟京东谈。”

  而根据贾伟和李大学的聊天记录,贾确实暗示李大学,曾有人想从自己手里购买京东的数据,但他以“不做违法的事”为由,拒绝了买家。

  “他说是说,但并没有把银行卡号告知京东人员,根本就没有交易,怎么能算是敲诈勒索呢?”张梅问。

  2012年1月4日前后,张梅和家人前往京东商城位于北京鸟巢附近的总部,要求面见李大学或更高层负责人和解此事,让警方放人。但在等待30分钟后,等来的却是两名朝阳分局的公安人员。“答应了要见我们,然后却自己报警,说我们扰乱他们正常营业,可我们什么都没做啊,这样的企业诚信何在?”张梅说。

  在张梅看来,京东商城负责人和贾伟的聊天充满着“诱导”,如聘请贾为京东商城高级技术顾问,这是京东首先提出来的;而2011年12月28日报警后,李大学和贾伟还在沟通费用问题,并索要银行账号密码,张梅不能理解为什么。

  “这其实是一场早已策划好的钓鱼阴谋,就是要把贾伟抓进监狱关起来!”

  2011年底,中国互联网迎来最大一次信息泄密事件,1亿多条用户个人信息被“黑客”获取,它们附带的价值超过百亿元。在这样的大浪潮中,陕西咸阳一名互联网技术人员发现了京东商城的一个安全漏洞,并索要240万元劳务费,后被警方控制。

  张梅告诉华商报记者,在贾伟被警方带走后,她曾在多地咨询法官、律师,不少人认为,贾伟的被抓与京东商城工作人员的“钓鱼式”诱导有关。

  2012年2月7日下午,华商报记者前往北京朝阳区京东商城总部进行求证,京东商城相关工作人员婉拒采访,并称“京东商城将尊重司法机关的调查结果,在司法部门还没有最后定论之前,不便做任何回应”。

  该工作人员认为,京东泄密事件,京东商城才是最大的受害者。被媒体披露出安全漏洞后,已经给京东的信誉造成了不可挽回的损失。

  以技术漏洞为由索“劳务费”涉嫌犯罪

  2月7日下午,华商报记者赶赴北京市公安局了解情况,北京市公安局以“未对外发布案件不能接受采访”为由,婉拒了记者的询问。记者辗转联系到了当地一位法官,这位不愿透露姓名的
法官从法学角度分析认为:“劳务报酬应该是在双方自愿的前提下达成的,而此案中,当事人贾某的行为存在着明显的不良动机,并暗示京东商城有人来购买他们的数据信息,有胁迫嫌疑。从法学角度,本案只是当事人责任大还是小的问题,并不是完全没有责任。”中国政法大学法学副教授、著名网络名人吴丹红在接受记者采访时也认为,贾伟的行为已构成了“敲诈勒索”,不属于正常的索要报酬,一天一万早已超出正常劳动报酬范围;使用的手段是暗示,试图让对方就范,但属于未遂。吴丹红说,敲诈勒索罪是指以非法占有为目的,对被害人使用威胁或要挟的方法,强行索要公私财物的行为。威胁,是指以恶的后果通告给被害人,迫使被害人处分财产,即如果不按照行为人的要求处分财产,就会在将来的某个时间遭受恶害。威胁内容的种类没有限制,包括对被害人及其亲属的生命、身体自由、名誉等进行威胁,威胁行为只要足以使他人产生恐惧心理即可,不要求现实上使被害人产生了恐惧心理。本案中,贾明确知道如果数据泄露将带给京东商城的危害,但他仍暗示了对方泄密可能性的存在,包括数据库被购买诸如此类的泄密,让对方产生心理恐惧,然后两害相权取其轻,进而让京东满足自己240万元劳务费的要求。“敲诈勒索的行为只有数额较大时,才构成犯罪。但是240万元的话,明显已经涉嫌犯罪,但好在犯罪未遂,情节上也比较轻微。”吴丹红说。那么京东商城在本案中有无责任呢?吴丹红说,京东商城在本案中没有明显责任,它的责任是针对消费者而言的。如果用户信息泄露,那么必须向消费者负责。

  这起案子给了中国“黑客”们一个法律上的警示,而“黑客”们的攻击或盗取信息往往有千奇百怪的理由。贾伟还算理智,没有给京东商城造成数据泄露的实质伤害,但网上的其他“黑客”显然不这样认为。

  中国“黑客”产业链价值上百亿

  在2011年底的那场有史以来中国互联网最大的泄密事件中,全国同时被抓的有四个人,贾伟只是其中之一。但贾伟的特殊性在于,他只是发现了漏洞,并没有通过黑客手段盗取信息或攻击该网站,牟取非法收益。

  根据国家互联网应急中心(CNCERT)统计,截至2011年12月29日,CNCERT通过公开渠道获得疑似泄露的数据库26个,涉及账号、密码2.78亿条。其中,具有与网站、论坛相关联信息的数据库有12个,涉及数据1.36亿条;无法判断网站、论坛关联性的数据库有14个,涉及数据1.42亿条。

  2012年1月10日,国家互联网信息办通报了一批互联网信息泄密事件,查处入侵、窃取、倒卖数据案件9起,编造并炒作信息泄露案件3起,刑事拘留4人,治安处罚8人。

  这些案例的共性为:编造或炒作网站用户信息被大规模泄露消息,既有出于个人炫耀或骗取钱财的目的,也有一些网络安全公司想以此提高知名度、推销产品,甚至有人纯粹是捣乱,以借机干扰微博实名注册工作。

  实际上,2011年网络数据大规模泄密并非偶然。拿最早被爆出用户数据泄密的CSDN网来说,该网站有100台服务器,却只有3名维护运营人员。

  现实中,国内网站竞争激烈,很多企业都把大部分精力放在发展业务上,在安全防护上投入很少或无力投入。天融信高级安全顾问吕延辉认为,在缺乏整体防护措施或安全意识淡薄的情况下,泄密事件的发生只是“时间问题”。

  没有一种技术或产品能够解决所有安全问题,在有限投入情况下,安全的防护水平必然也是有限的,安全风险或隐患的存在也成为了一种必然。

  而在10年前,中国互联网刚刚兴起时,“黑客”还十分神秘,但如今,但凡有些互联网知识的人,都可利用各种工具轻而易举地成为“黑客”的一员。

  因此,中国实际上已成为世界最大的“黑客”交易市场之一。据媒体报道,不同“黑客”组织实际掌握的用户数据库规模应该远大于1亿条,目前中国“黑客”的黑色产业链规模价值已达上百亿元。

  “你的数据是怎么保存的,谁能获得它?”

  2011年底,中国互联网迎来最大一次信息泄密事件,1亿多条用户个人信息被“黑客”获取,它们附带的价值超过百亿元。在这样的大浪潮中,陕西咸阳一名互联网技术人员发现了京东商城的一个安全漏洞,并索要240万元劳务费,后被警方控制。

  “中国80%的网站都存在漏洞。”CSDN网(全球最大的中文IT社区)总经理蒋涛对华商报记者说。实际上,这一数据还只是蒋涛的保守估计。事实上,国内互联网在安全方面一直较为忽视。2005年,CSDN与国外一家公司谈投资合作,对方的第一个问题就让蒋涛始料不及,“你的数据是怎么保存的,谁能获得它?”

  实际上,此前CSDN的网站密码采取的都是明文存储的密码,非常容易被破译。如在2011年的微博上,就有很多网友破译出一些网站的明文存储密码,多为朗朗上口的唐诗,如:“飞流直下三千尺”、“床前明月光”等。

  CSDN在用户数据泄露后,坦承并马上修补了网站本身存在的漏洞,但一些存在漏洞未被曝光的网站似乎至今缺乏警惕性。

  而几乎与互联网伴生的网络“黑客”们,部分不良分子的主要工作就是寻找这些漏洞实施攻击,或为名炫耀技术,或为利盗卖数据。互联网的隐身性几乎为他们提供了天然隐蔽。这些人大多都有自己的工作,白天是白领,甚至职业和IT毫无关系,但是晚上一转身就是“黑客”。他们在网上没有上级,大多数行为都是个人行为,但是这样零散的个人行为带给各个网站的却可能是灭顶之灾。

  “所以,我们目前需要一个平台,有人发现了问题,可以去和各大网站沟通。避免再有‘我心飞翔’(贾伟)这样的事件发生。”游侠安全网创始人张百川表示。他说,目前虽然国家有一个网络漏洞库,但因为官方平台较为刻板,很难吸引圈内人士关注。

  2012年1月4日,张百川在其网站上发布了新浪微博的漏洞:新浪iask站点存在SQL注入漏洞,利用该漏洞可以读取iask数据库内容,并利用该漏洞成功登录了魔术师刘谦的微博进行验证。

  该帖子称,该漏洞涉及到包括明文密码在内的7000多万新浪用户信息。新浪iask官方微博对此回应,在发现该漏洞后已立即进行紧急修复,受影响的账号在30万左右。

  在互联网信息大泄露事件中,张百川此举无疑是个人维护网络信息安全的一个正面典型。

  有小网站甚至每月给“黑客”交“保护费”

  “新浪和‘黑客’在沟通上就非常好,回应很积极。逢年过节,新浪还会寄给这些圈内朋友一些小礼物表示感谢,这样下次谁发现了新浪的漏洞,肯定是第一时间通知新浪,挽回新浪的损失。而像京东商城这次的事件,虽然贾伟有错在先,但是支付一定劳务费也可以说得过去。京东商城报警抓人,圈里人认为有点欠厚道,毕竟谁也不能保证自己永远没有漏洞,有事好商量嘛。”张百川说。

  实际上从2011年8月起,工业和信息化部通信

联系站长租广告位!

中国首席信息安全官