官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
- 关注
本文由 创作,已纳入「FreeBuf原创奖励计划」,未授权禁止转载
近日,号称”史上最大数据窃取案”(涉及30亿条计算机数据)的一审刑事判决书公布在了中国裁判文书网站,使公众可以进一步了解新三板挂牌企业北京瑞智华胜科技股份有限公司(“瑞智华胜”)及其高管、员工共同参与的非法获取计算机信息系统数据案件的相关细节。
经审理,法院认定被告单位瑞智华胜,以合作名义取得运营商登录许可后,非法窃取运营商处的用户cookie数据,通过非法登录个人用户账户,爬取订单信息,强行添加好友,强行推送广告等方式,谋取非法利益,情节特别严重,被告单位及8名被告人均构成刑事犯罪。
该案不仅涉及的计算机数据之多不仅是前所未有,且犯罪手段隐蔽且有很强的技术能力。涉案人员人员更是多达8人,由一个新三板上市公司的多个部门员工,组织严密,分工明确,
我们对案件进行深入分析后,重点关注以下几个问题:
一、这群全军覆没的人,到底是谁?
一群受过高等教育的技术员,在已经具有一定社会经验的年龄段(30岁左右),在一个具备一定社会知名度的单位(新三板上市公司)上班,跨过了山和大海,却全军覆没在一起刑事案件中。
| 被告人 | 出生年月 | 文化水平 | 身份/职务 |
|---|---|---|---|
| 周某 | 1980年11月1日出生 | 本科 | 法定代表人、股东(原始持股3.5%) |
| 黄某 | 1980年11月2日出生 | 本科 | 股东(原始持股3.5%)、监事、运维部负责人 |
| 梁某 | 1991年9月15日出生 | 本科 | 运维部组长、职工监事 |
| 石某 | 1990年5月21日出生 | 本科 | 运维部员工 |
| 袭某 | 1989年8月16日出生 | 研究生 | 技术总监、股东(原始持股2%) |
| 王某 | 1991年6月25日出生 | 本科 | 研发部员工 |
| 王某一 | 1992年12月23日出生 | 本科 | 研发部员工 |
| 王某二(另案) | 1988年1月10日出生 | 研究生 | 原北京点智互动信息技术有限公司(关联)员工 |
通过上述梳理,我们有以下几点发现:
1、八个被告人中,三个是公司股东(小股东,持股比例均不超过3.5%),其他五个均为公司普通员工。其中:
2、公司实际控制人(另案处理),仍然在逃。
3、除了两个是负责业务推广和运维工作,其余均是技术人员。
二、他们到底经历了些什么?
接着,我们看一下这些技术人员在本案中究竟是如何被明确分工,像机器上的螺丝一下被安排后运用各自的技术进行犯罪的?
| 被告人 | 身份/职务 | 负责内容 | 判决结果 |
|---|---|---|---|
| 梁某 | 运维部组长、职工监事 | 具体负责运维部工作,负责部署SD程序以完成数据采集,负责部署爬虫程序,负责操作加粉程序并统计加粉业绩情况。 | 有期徒刑二年八个月&罚金六万元。 |
| 石某 | 运维部员工 | 负责部署SD程序以完成数据采集,负责部署爬虫程序,负责操作加粉程序并统计加粉业绩情况。 | 有期徒刑二年六个月&罚金六万元。 |
| 袭某 | 技术总监、股东 | 负责程序研发,参与了爬虫程序、加粉程序、数据监控程序的研发、维护。 | 有期徒刑二年四个月,缓刑三年&罚金*六万元。 |
| 王某 | 研发部员工 | 根据指示负责SD程序的研发、维护。 | 有期徒刑二年,缓刑二年六个月&罚金六万元。 |
| 王某一 | 研发部员工 | 根据指示负责爬虫程序和部分加粉程序的研发、维护。 | 有期徒刑二年,缓刑二年六个月&罚金六万元。 |
| 王某二(另案) | 原北京点智互动信息技术有限公司员工 | 具体负责对淘宝校验码程序的破解以及后续对此功能进行优化。 | 判处有期徒刑二年,缓刑二年六个月&罚金六万元。 |
判决书中认定,在本案中,被告单位等对数据的采集、保存、调取、使用系一个完成的犯罪行为链,数据的采集、保存行为系超越授权的操作,且直接服务于后续的数据非法使用,应认定为具有刑事违法性。
可以说,这个围绕非法获取数据展开的犯罪活动,每一步都离不开技术的支持。比如:通过部署SD程序,非法收集运营商数据;通过爬虫数据,搜集用户交易订单;通过加粉程序,强行向用户添加好友;破解电商平台校验码程序,以实现非法操作用户账户等。
技术人员在运维部领导的组织安排下,在技术总监的带领下,分工明确,相互配合,开发程序,最终实现了犯罪行为。
三、悬念:莫名成为背锅侠?
最后,本案并非彻底终结,还有最重要的主犯“邢某”在逃。
瑞智华胜2017年报显示,瑞智华胜股东为几个自然人。虽然公开文件披露,邢某、张某、王某为一致行动人,是公司实际控制人。
但在本案庭审中,被告人黄某供述“邢某”是公司的实际大老板,加上多名技术人员提及是根据“邢某”的想法完成程序的开发,在发现淘宝在调查订单被爬的情况后,也是他立即要求技术人员删除销毁数据。可以看出,“邢某”才是整起犯罪的策划者,主导了犯罪活动,并获取了最大的非法利益。
然而,这名神秘主犯的成功脱逃,更给这些获刑的技术员们增添了一丝丝苦涩。
四、冤不冤?—— 程序员的灵魂拷问
是老板或者领导指示我去做的,又不是我自己主动去做的,这样也犯罪吗?
我们整理分析了庭审中程序员们的主要辩论观点:
| 被告人 | 是否初次犯罪 | 辩护律师的主要辩论观点 |
|---|---|---|
| 梁某 | 是 | 因法律意识淡薄而走上犯罪道路。在行为过程中系听从安排实施相关行为,对本案的发生仅起到辅助作用,应认定为共同犯罪中的从犯。 |
| 石某 | 是 | 参与作案时间较短,工作内容受人指派,获利仅为基本工资,主观恶性较小。 |
| 袭某 | 是 | 在单位中属底层员工,仅获取固定工资,其职责仅涉及单位的部分犯罪行为。 |
| 王某 | 是 | 属职务行为,在公司属于底层员工,在单位犯罪中仅起到次要作用。 |
| 王某一 | 是 | 系职务行为,非蓄意实施犯罪,工作内容受人支配,所起用较小。 |
| 王某二(另案) | 是 | 受公司的指示工作,属于履行自己工作职责,并非积极主动实施犯罪行为。 |
主要辩护观点能否成立呢?
辩护律师均提出了是职务行为,主观恶性较小的辩护观点。在刑事案件中,经常会有一些技术人员感觉很冤枉,“这事儿是老板、领导让我去做的,所以我就去做了,我只是完成了日常工作而已,为什么这样也算是犯罪啊?”
到了这个节点,对法律的理解进入了误区。
请看一审判决中几段关键表述:
——“被告人……系被告单位直接负责上述行为的主管人员或直接责任人员,其行为均已构成非法获取计算机信息系统数据罪,且系共同犯罪。公诉机关指控的罪名成立,本院予以支持。”(定罪)
——“综合被告单位经营的时间、行为的影响范围及恶劣程度、已查证获取的身份认证信息的数量、数据的违法使用情况以及非法获利情况,足以认定被告单位及被告人的行为已达到“情节特别严重”程度,被告人周某的辩护人就此提出的否定意见,本院不予采纳。”(犯罪后果)
——“……表示认罪认罚,各被告人均系初犯,据此依法对各被告人予以从轻处罚。”(量刑)
可见,虽然这些程序员都是初次犯罪,在本次犯罪之前基本都算是奉公守法的好公民,辩护律师可以据此向法官求情予以从轻处理,但也仅限于量刑环节,对案件的定罪没有影响。
我们很认同其中一名律师的总结:“因法律意识淡薄而走上犯罪的道路。”
这里的法律意识淡薄,不是说要求大家都懂具体的刑法条款,而是按照社会常理来看,只要大家能够认识到非法获取、使用数据是不可以去做的,就应当有一个风险意识和必要的警惕性,如果真的做了这个行为,会产生什么法律后果?
很显然,本案中的程序员过于相信自己的老板、领导,既然是他们指示我做的,我就去做了。而忽视了对其具体所从事的工作性质、后果的独立判断和思考,不经意间沦为了从犯。所以法律制裁他们,一点都不冤啊。
程序员们深陷犯罪泥潭究竟是偶然,还是必然呢?遗憾的是,经过梳理本案的各项细节,我们只能得出“必然”的结论。
这起案件教训深刻,值得引起所有技术人员的高度警惕和反思!我们呼吁“科技向善”的同时,希望广大程序员们不能再仅仅埋头于技术本身了,同时也要关心技术的用途、风险,特别是在具体商业模式中的作用,这样才能更好地用好技术,保护自己,改变世界。
已在FreeBuf发表 0 篇文章
- 0 文章数
- 0 关注者