90后程序員發(fā)現(xiàn)后臺漏洞　偷“味多美”券網(wǎng)售牟利18萬

昨天上午，涉嫌盜竊罪的陳某和楊某在西城法院受審。陳某的家屬及味多美公司代表到場旁聽。

竊取味多美蛋糕券獲利18萬

上午9點37分，陳某和楊某被帶入法庭。開庭前，陳某向法官表示，自己的母親情緒不太穩(wěn)定，希望她不要在現(xiàn)場旁聽。法官向陳某母親詢問時，她看了眼年僅20歲的兒子，擦了擦眼淚，表示自己可以控制住情緒。

法庭上，公訴機(jī)關(guān)認(rèn)為，陳某伙同楊某于2017年11月至2018年1月間，通過互聯(lián)網(wǎng)入侵味多美食品有限公司電商部服務(wù)器，竊取價值365900元人民幣的蛋糕券電子兌換碼，并刪除服務(wù)器相關(guān)訂單數(shù)據(jù)。后陳某將蛋糕券電子兌換碼通過電商網(wǎng)站出售共獲利18萬元，造成味多美食品有限公司實際損失257000元。

在此過程中，楊某為陳某提供了入侵網(wǎng)站及刪除數(shù)據(jù)的計算機(jī)語言，并未從中獲利。但在入侵服務(wù)器的過程中，楊某從網(wǎng)站上非法盜取了1302536條公民個人信息，應(yīng)以侵犯公民個人信息罪，追究其刑事責(zé)任。

偶然發(fā)現(xiàn)網(wǎng)站漏洞產(chǎn)生歪念

在上海某互聯(lián)網(wǎng)公司從事攻防滲透測試工作的陳某，只有小學(xué)文化，他表示自己平時的工作就是對公司旗下的網(wǎng)站進(jìn)行模擬入侵，對其網(wǎng)站安全進(jìn)行測試。

去年11月底，陳某的女朋友想給他買個蛋糕過生日，陳某就去網(wǎng)站上搜蛋糕券。因為職業(yè)敏感，陳某對味多美公司網(wǎng)站進(jìn)行測試，發(fā)現(xiàn)其存在漏洞，于是入侵了網(wǎng)站，而味多美公司的網(wǎng)站并非其公司旗下網(wǎng)站。

“開始我是想把這個漏洞提交到漏洞平臺上，但是想到也只能獲得二三百元的獎勵，而我買的虛擬貨幣賠了錢，就想到用這種方式賺點錢。”陳某表示，隨后他嘗試添加了一張現(xiàn)金卡訂單，發(fā)現(xiàn)成功了，于是想到可通過這種方式來獲利。“我就在電商平臺上發(fā)了一個訂單，如果有人買，我再去后臺竊取。”

以陳某自己的能力，原本他只能入侵一個管理員的賬號，于是想到找同事楊某幫忙，入侵所有管理員的賬號密碼。

在法庭上，陳某表示，為了不被查出異常，在自己實際售賣蛋糕電子兌換碼的過程中，如果買家要買兩張卡，自己需要竊取10張，從中挑出2張不連續(xù)的，進(jìn)行售賣。而其他的卡，陳某在向楊某咨詢了如何編寫刪除語言后，都給刪掉了。

約三個禮拜后，陳某找到楊某，說自己賺了錢，要分他一點，但是楊某沒有要。之后，楊某向陳某索要了后臺賬號和密碼。

為了學(xué)習(xí)研究 盜取用戶個人信息

同在上海某互聯(lián)網(wǎng)公司的楊某從事的是編寫計算機(jī)語言工作，楊某表示，當(dāng)時陳某找到自己問一個語句該怎么寫，自己便告訴了他。而平時二人的工作中，陳某也經(jīng)常會找楊某請教計算機(jī)語言方面的問題。當(dāng)時，楊某以為陳某只是為了測試味多美網(wǎng)站的漏洞，并提交到漏洞平臺上。

法庭上，法官問楊某，之后陳某向他請教刪除語句時，楊某是否知道陳某是要刪除在味多美網(wǎng)站上的入侵記錄，楊某則表示，自己知道他要刪除入侵記錄，但不知道是不是要刪除盜取蛋糕兌換券的記錄。

“后來陳某來找我，說他賣蛋糕券掙錢了，問我要不要一起做，我拒絕了。說要給我錢，我也沒有要。”楊某說，三個禮拜后，當(dāng)自己發(fā)現(xiàn)陳某的這種行為時，覺得這肯定行不通，是在犯罪。“當(dāng)時我也勸他了，他沒聽。”

而隨后，在楊某跟著陳某看了眼味多美后臺時，發(fā)現(xiàn)里面有大量的蛋糕訂單數(shù)據(jù)。“當(dāng)時我腦子就有點發(fā)熱，那段時間我正好在研究大數(shù)據(jù)，就想用這些數(shù)據(jù)做數(shù)據(jù)分析，下載了一份。”楊某表示，程序員是需要自己不斷去學(xué)習(xí)的一個職業(yè)，如果不主動去學(xué)習(xí)，就很容易被淘汰。“所以我下載這些數(shù)據(jù)，只是用來學(xué)習(xí)研究，并沒有用做其他用途。”

陳某希望對同伙從輕處罰

在陳某非法售賣蛋糕電子兌換券期間，味多美公司發(fā)現(xiàn)其線下門店有多名顧客持電子兌換碼兌換蛋糕。一次，在一名顧客持在線下門店一次性兌換2萬元的蛋糕券時，店鋪立即報警。

經(jīng)味多美公司技術(shù)部門查實發(fā)現(xiàn)，2017年11月至2018年1月間，其后臺被入侵，大量蛋糕電子兌換碼被盜取，實際被異常兌換的兌換碼價值365900元人民幣。

同時，在公安機(jī)關(guān)的調(diào)查中，一名從陳某處大量購買蛋糕券的人，表示自己一共購買了約7萬元的蛋糕券，之前的都兌換成功了，但最后一次在門店兌換2萬元的蛋糕券時，因店鋪報警，沒有兌換成功。

最后，公訴機(jī)關(guān)認(rèn)為，陳某和楊某以非法占有為目的，以技術(shù)手段入侵網(wǎng)站服務(wù)器，盜竊財務(wù)且數(shù)額巨大，應(yīng)當(dāng)以盜竊罪追究其刑事責(zé)任。陳某、楊某到案后如實供述罪行，可以從輕處罰。

楊某在盜竊行為中起輔助作用且未獲利，系從犯，應(yīng)當(dāng)從輕、減輕處罰。楊某入侵味多美網(wǎng)站后盜取公民個人信息的行為，應(yīng)當(dāng)以侵犯公民個人信息罪追究其刑事責(zé)任，因其自首，可以從輕或減輕處罰。

公訴機(jī)關(guān)建議，判處陳某盜竊罪有期徒刑七年六個月至八年六個月，并處罰金。建議判處楊某盜竊罪有期徒刑四年至五年，并處罰金；侵犯公民個人信息罪有期徒刑三年至四年，并處罰金。

最終，陳某向法官表示，自己愿意賠償味多美公司的損失，但是自己的家庭條件可能沒有能力賠償。同時，盜取蛋糕電子兌換碼都是自己一個人的想法和行為，楊某并沒有直接參與，希望法庭能夠?qū)ψ约旱耐�事從輕處理。

楊某則在法庭上表示，因為自己的原因?qū)е铝宋抖嗝拦�司的損失，希望向味多美公司道歉。