有些公司采用某种分布式开发框架搭建网站后台,后台会产生一个默认账号和密码,使用默认账号和密码登录后可以获得框架后台的服务器最高权限,这意味着可以对网站进行任意操作。
数字支付在带来便捷的同时,也隐藏了巨大的风险。有人就挖空心思当起了黑客,铤而走险利用公司网站框架漏洞牟利。日前,经浙江省杭州市富阳区检察院提起公诉,法院以盗窃罪分别判处被告人陈某等3人有期徒刑八年至一年两个月不等,各并处罚金。
陈某大学读的是计算机专业,毕业后一直待业在家。时间一久,陈某便着急起来,想要找个赚“快钱”的工作。2021年7月,陈某在上网时无意间发现了一则帖子,内容是教人如何当黑客赚“快钱”,便立即研究起来。
原来,有些公司采用某种分布式开发框架搭建网站后台,后台会产生一个默认账号和密码,使用默认账号和密码登录后可以获得框架后台的服务器最高权限,这意味着可以对网站进行任意操作。为获得操作权限,陈某加入了一个技术交流群,群里会发布破解软件以及如何操作该软件的文档。此外,该软件的开发公司旗下还有一款搜索引擎,可以搜索出网站的服务器类型、开发框架等,并识别出网站的安全性能级别。
因该搜索引擎需付款使用,陈某便注册了会员,通过搜索引擎筛选出特定框架结构的网站,再用默认的账号和密码去登录这些网站。大部分网站因后台密码被修改过无法登录,但陈某仍不断尝试。没多久,陈某在登录江苏淮安一公司网站后台时,发现默认密码没有修改。陈某惊喜不已,登录网站后台后顺利拿到了服务器权限,并发现了公司的支付宝账号和密钥等支付信息。随后,陈某通过技术手段将该公司2.4万元资金分3次转入自己的账户,用于日常消费和还债。
尝到甜头后,陈某继续寻找公司网站框架漏洞,甚至对很多公司网站进行背后攻击和转账。为了将钱转移得更为隐蔽,陈某找到朋友何某和梁某,让二人提供银行卡账号,将违法所得转至他们名下后,再转回陈某的另一网络钱包。
2022年1月,杭州某公司的会计在对账时发现公司有异常出账情况,经查看后确定公司于2021年12月至2022年1月被转走了30余万元。会计汇报了这一异常情况后,公司老板召开紧急财务会议,最终从账面流水上确定30余万元资金被转至何某和梁某名下的银行账户。老板随即报警。
此后,海南三亚、福建漳州等地陆续接到公司资金被盗转的报警。公安机关立即根据相关线索展开侦查,陈某等3人先后落网。经查,2021年8月至2022年1月,陈某单独或伙同梁某、何某,利用网络技术手段侵入被害公司资金账户,将资金转至自己账户。其中,陈某涉案金额为40余万元,梁某和何某涉案金额为30余万元。2022年10月,公安机关以涉嫌盗窃罪将陈某等3人移送富阳区检察院审查起诉。
“我们只是帮陈某转账,为什么也要定盗窃罪?”针对罪名定性,梁某提出疑问。检察官经审查认定,陈某让梁某、何某二人提供银行卡转账前,已将其盗窃公司资金的行为方式进行告知,二人在事先明知陈某盗窃被害单位资金的情况下,不仅提供自己的账户接收盗窃所得赃款,且参与操作转账,应认定为盗窃罪共犯。
最终,检察机关认为,陈某等3人以非法占有为目的,利用网络技术手段秘密窃取公司财物,犯罪事实清楚,证据确实充分。2022年11月,富阳区检察院以涉嫌盗窃罪对陈某等3人提起公诉。日前,法院作出上述判决。
文/史隽 沈玲
编辑/倪家宁