一名刚刚成年的“技术宅”,无意间发现平台漏洞,竟利用黑客技术盗取他人账号并售卖获利。本是大学里意气风发的大好青年,却钻营平台漏洞盗取他人账号获利。近日,上海市黄浦区人民法院(以下简称黄浦区人民法院)审结了一起利用黑客技术非法获取某社交平台账号出售牟利的刑事案件。
小王刚满18周岁,是某大学大数据专业大一学生,自小喜欢计算机技术,初中时便自学E语言、C语言、Python、java等编程,混迹于各个论坛进行技术分享和交流,也掌握了包括“撞库”“爬虫”等黑客技术。
2023年12月,小王发现某社交平台服务器与微博服务器的跳转登录核验机制存在漏洞,未对通讯数据进行全面核验和加密,故产生了用黑客技术钻空子获取该平台账号信息并出售牟利的想法。
2023年12月至2024年1月间,小王利用上述漏洞,运用自己掌握的计算机通信技术手段,获取了相关账号的操作权限,后又利用该社交平台首次设置用户密码无需验证机制,自行编写了若干脚本文件登陆该社交平台服务器,批量向该社交平台服务器发起密码设置申请。
经司法鉴定,小王在该平台非法获取了上述账号的实际控制权,这其中包括个别明星的社交平台账号。期间,小王通过搭建专门的发卡网站用于出售上述账号(包含账户名及登录密码),并从中非法获利7.6万余元。
2024年3月,小王被公安民警传唤到案,其到案后如实供述了上述犯罪事实。小王在审理过程中认罪认罚,在家属帮助下退出全部违法所得并预缴罚金三万元。
黄浦区人民法院经审理认为,被告人小王违反国家规定,采取技术手段,非法获取具有身份认证功能的计算机信息系统数据,情节特别严重,其行为已构成非法获取计算机信息系统数据罪,依法应予刑事处罚。考虑到被告人小王到案后能如实供述自己的罪行,依法可以从轻处罚。小王能自愿认罪认罚、退出违法所得并预缴罚金,依法可以酌情进行从轻处罚、从宽处理。根据被告人小王的犯罪事实、情节及认罪、悔罪表现等,可以适用缓刑。
最终黄浦区人民法院以非法获取计算机信息系统数据罪判处小王有期徒刑三年,缓刑三年,并处罚金人民币三万元;退缴在案的违法所得连同扣押在案的犯罪工具,予以没收。
一审判决后,公诉机关未抗诉,被告人小王未上诉,案件现已生效。
法官说法
在“全民触网”的当下,各类社交平台蓬勃发展,成为人们对外社交的重要一环。网络社交账号特别是经过实名认证的账号,具有一定的财产属性和人身依托性。
针对公民社交账号实施的非法获取、倒卖等一系列违法犯罪活动,不仅干扰了平台运营商的正常经营秩序,破坏了社交平台网络空间社区的健康生态,而且这些被非法倒卖的账号会成为网络黑灰产团伙进行网络引流的工具,从而催生电信诈骗、网络赌博等一系列下游犯罪。本案中,被告人小王违反国家规定,利用机制漏洞,通过拦截、修改数据包成功盗窃并控制了某社交平台上的大量账号,系以非法手段获取了具有身份认证功能的计算机信息系统数据,而后出售账号数据获利7.6万余元,属情节特别严重,故小王上述行为已构成非法获取计算机信息系统数据罪。
小王是大学本科生,本应有大好前程,却因一时贪欲将技术本领用于违法犯罪,最终承担了严重的法律后果。广大计算机爱好者要引以为戒,自觉履行数据安全保护义务,切莫为“逞能炫技”或“侵财逐利”踏入违法犯罪的深渊。
法官提醒,互联网企业应当做好平台数据安全的“监督者”和“守卫者”,高度重视数据安全和个人信息保护,在技术层面上加强密码安全性校验,定期更新漏洞补丁,进行实时行为分析和异常检测,并完善账号发生盗用后的申诉、补救、校验、恢复机制。
公民个人应加强网络安全意识,对个人信息数据泄露保持警惕,平时不随意点击来源不明的链接或下载未知的软件,并定期更新自己的操作系统和应用程序。为加强对个人隐私的保护,公民在设置账号密码时可以采取增强密码的复杂程度、不同平台设置不同密码、减少不同程序之间的账号关联、多因素身份验证等方式以提高账户的安全性。
文/北京青年报记者 李铁柱
编辑/倪家宁