1. 案情介绍

2015年1月，叶某编写了用于批量登录某宝账户的“小黄伞”撞库软件（“撞库”是指黑客通过收集已泄露的用户信息，利用账户使用者相同的注册习惯，如相同的用户名和密码，尝试批量登陆其他网站，从而非法获取可登录用户信息的行为）供他人免费使用。

“小黄伞”软件需要结合“打码” （“打码”是指利用人工大量输入验证码的行为）平台，实现账号密码批量验证并登陆。叶某将“打码”业务交由“码工头”张某协助完成，并向其支付费用。

谭某通过下载“小黄伞”，向叶某购买打码服务，成功获取某宝账号2.2万余组，并将非法获取的账号密码出售给他人，从中获取***25万余元。

2018年5月18日，浙江省杭州市余杭区人民法院判决认定叶某、张某的行为构成提供侵入计算机信息系统程序罪；谭某的行为构成非法获取计算机信息系统数据罪。

2. 分工图

如果把刑事案件的指控，比作一项攻防战，则办案机关可以视作进攻方，主要职能是固定犯罪证据，向法院提出罪刑指控；而辩护律师是防守方，主要职能是从指控罪名、证据认定等多角度，为犯罪嫌疑人减轻或免除处罚。以下我们从攻、防两个角度，看看本案中控辩双方是如何较量的。

3. 进攻方：检察机关如何组织指控

在案件办理过程中，杭州市余杭区人民检察院关注的重点内容包括：

（1） 完善“小黄伞”的编制过程、运作原理、功能等方面的证据，以便明确“小黄伞”是否具有避开或突破某宝服务器的安全保护措施，非法获取计算机信息系统数据的功能。

（2） 对扣押的张某电脑进行补充勘验，以便确定张某主观上是否明知其组织打码行为是为他人非法获取某宝用户信息提供帮助；调取张某与叶某的QQ聊天记录，以便查明二人是否有犯意联络。

（3） 提取叶某被扣押电脑的MAC地址，分析“小黄伞”的源代码中是否含有叶某电脑的MAC地址，以便查明某宝服务器被非法登陆过的账号与叶某编制的“小黄伞”软件之间是否存在关联性。

（4） 对被扣押的谭某电脑和U盘进行补充勘验，调取其中含有账号、密码的文件，查明文件的生成时间和特征，以便确定被查获的存储介质中的某宝用户信息是否系谭某使用“小黄伞”软件获取。

4. 防守方：辩护人的主要观点

庭审中，被告人谭某、叶某、张某对公诉机关的指控均无异议。

被告人叶某及张某的辩护人分别提出辩护意见，主要有以下几点：

（1） 公安机关未能对软件进行侦查实验或进行司法鉴定，故认定“小黄伞”软件属于专门用于侵入计算机信息系统的程序存在瑕疵；

（2） 叶某主观恶性较小，犯罪情节较轻，其获利金额应扣除其支付给码工的钱款，实际所得不足一万元，属于“情节严重”而非“情节特别严重”；

（3） 张某与叶某之间无共同犯罪的主观故意，其只是负责联系码工的“码工头”。即使认定张某构成共同犯罪，也应认定其系从犯，或对其打码行为单独评价（仅获利1200余元）。

对于上述观点（2）（3），法院均不予认同。法院经审理认为，叶、张二人供述和辩解与QQ聊天记录证实了“共同犯罪的主观故意”，二人属于共同犯罪，应当对全部犯罪金额承担责任，且地位作用相当，不宜区分主从犯；而对于辩护人主张的应扣除叶某支付给码工的钱款，法院认为属于犯罪成本，不应在违法所得中扣除。而对于涉及技术认定的观点（1），我们将在下文中进行重点讲解。

5. 从技术角度看证据链

关于技术类犯罪，如何从技术角度搜集犯罪线索、固定证据，一直是案件侦查中的重点和难点。

 （1） 如何证明叶某为“小黄伞”的编制者？

关键词：MAC地址

从本案判决书中看，辩护人并未就此提出辩护意见。

对此，公安机关结合相关证据证实了使用撞库软件的终端设备的MAC地址（被攻击平台工作人员证实为50:46:5D:A3:58:AB）、叶某电脑的MAC地址、“小黄伞”的源代码里包含的MAC地址（公安机关提取叶某电脑MAC地址为50-46-5D-A3-58-AB）三者一致。从而证明叶某就是“小黄伞”的编制者。

（2） 如何证明“小黄伞”是“专门用于侵入计算机信息系统的程序”？

关键词：对软件功能的分析

本案中，叶某辩护人提出“小黄伞”软件不属于我国《刑法》规定的“专门用于侵入计算机信息系统的程序”。对此，办案机关主要根据以下思路进行证明：

首先，结合被侵入的计算机信息系统的安全保护措施，分析“小黄伞”是否具有侵入的目的，是否具有避开或者突破计算机信息系统安全保护措施的功能；

其次，结合计算机信息系统被侵入的具体情形，查明“小黄伞”是否在未经授权或超越授权的情况下，获取计算机信息系统数据；

最后，分析“小黄伞”的总体功能，是否属于“专门”用于侵入计算机信息系统的程序。

具体而言，在本案中，通过被告人供述以及技术专家对“小黄伞”运行原理的分析（基于源代码），“小黄伞”被确认具有以下特点：a) 用途单一，仅能针对某宝进行撞库和接入打码平台；b) 被写入自动拨号功能，在批量登陆几组账号后，会自动切换新的IP地址，具有避开或突破计算机信息系统安全保护措施的功能；c) “小黄伞”具有绕过验证码识别防护措施的功能，会自动抓取验证码图片发送到打码平台，由张某组织的码工对验证码进行人工识别；d) “小黄伞”对登陆成功的账号，在未经授权的情况下，会自动抓取账号对应的昵称、注册时间、账号等级等数据。根据以上特征，可以认定“小黄伞”属于刑法规定的“专门用于侵入计算机信息系统的程序”，故公安机关未能对该软件进行侦查实验或进行司法鉴定，并不影响对其功能的认定。

（3）如何证明谭某利用“小黄伞”非法获取某宝用户信息？

关键词：提取数据、比对数据

在已经认定了软件编制者、软件功能后，接下来的就是对于使用“小黄伞”与实害后果（某宝账户被盗）之间的因果关系进行证明。

本案中，侦查机关从谭某使用的电脑、无线路由器、u盘进行检查，并提取到“小黄伞”软件及相关某宝账号、密码数据、电脑Mac地址等，并对所有包含某宝用户账号和密码的文件进行比对，查明用户信息文件不仅包含账号密码，还包含注册时间、账号等级、是否验证等，而谭某从其他渠道非法获取的账号信息文件并不包含这些。从而结合谭某的供述，认定叶某编制的“小黄伞”软件，就是某宝用户账号遭“撞库”被盗的元凶，证据链完成了闭合。

6. 启发

对于IT人员来说，本案具有警示和风险提示意义。案件始于某宝报案频繁登陆行为，侦查人员发现嫌疑人设备中的犯罪工具，并抽丝剥茧，定位到“小黄伞”编制者叶某、“码工头”张某，继而在检察机关指导下完善软件功能、原理、犯罪所得等证据收集，最终成功证明犯罪。可见网络黑手，难逃法网恢恢。IT人员应当以此为鉴，切忌贪图小利，利用自身专长编写违法软件扰乱公共秩序，从而陷入违法犯罪深渊。

对于普通个人用户而言，我们应注意到“撞库”攻击的成本和技术门槛极低和普及的事实。我们提醒，个人用户应注意个人信息保护，在不同平台上创建账号时尽可能采用不同昵称和密码，从而减少账号被盗的风险。

对于控制和存储用户个人数据的企业而言，应该提高对撞库防御的意识和能力，并意识到到撞库可能对企业运营造成的沉重打击，不仅可能因为机密信息泄露导致业务受到影响，还可能引起监管部门关注和调查，甚至引发诉讼索赔。因此，我们建议企业应至少做到以下两点：（1）建立网络安全保护体系，防御和监控反常登陆或外部攻击；（2）增强企业内部员工安全意识，重视安全培训与演练。