90后小伙利用支付宝漏洞被抓, 我为什么拍手叫好?

时间:2024-01-23 08:20:49

大家可能对前阵子支付宝的「赚钱红包」活动略有印象,活动大概就是这样的:支付为每个用户生成一个专用二维码,别人扫你的二维码就可以获得一个红包。而当对方消费时,你也将获得一个等额红包。但扫到后来也就一两毛钱,许多人就觉得没啥意思。

但前几天爆出一个新闻,说是浙江余姚一个 90 后小伙却发现了这个活动的一个漏洞,在短短两天之内,通过这个活动非法获得赏金 90 余万元

这个 90 后小伙陈某发现:在某个支付宝页面中输入任意一个手机号码,支付宝后台服务器便会误以为该用户扫描了陈某的二维码,只要该用户在使用支付宝时抵用了这个红包,陈某的支付宝账号便可以获得同等额度的赏金。

于是陈某便写了一个脚本,通过穷举手机号码的方式,让自己的支付宝绑定了无数个手机号码,从而在两天之内获取了 90 余万元的赏金。

当然支付宝也不是吃素的,支付宝通过人工核查发现某些数据出现了异常,而相关用户的IP地址在余姚,立刻向余姚市*局报案。目前陈某该案件已经由*机关已侦查完毕,并以破坏计算机信息系统罪,向余姚市人民检察院移送审查起诉。

这个新闻出来之后,很多技术人员质疑支付宝,明明是支付宝活动出的问题,为什么陈某要承担法律责任呢?甚至有人将这件事情与之前柜员机故障吐钱被抓联系在一起。

但作为一个知法懂法的四有青年,我不仅不质疑,我还要拍手叫好!

《*刑法》第二百八十六条对于「破坏计算机信息系统罪」的描述是这样的:

破坏计算机信息系统罪是指违反国家规定,对计算机信息系统功能或计算机信息系统中存储、处理或者传输的数据和应用程序进行破坏,或者故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的行为。

联合这次事件,我们可以明显知道陈某对支付宝的计算机系统中存储的数据进行了「破坏」,干扰了计算机系统的正常运行,并且该行为是具有主观的恶意,为了非法牟利

这次事件不禁让我想起了前几年的「世纪佳缘白帽子」事件。

乌云漏洞平台的白帽子袁炜,在去年12月份向乌云提交了其发现的婚恋交友网站世纪佳缘的系统漏洞。在世纪佳缘确认、修复了漏洞并按乌云平台惯例向漏洞提交者致谢后,事情突然发生转折。世纪佳缘在一个多月后以「网站数据被非法窃取」为由报警。4月份,袁炜被司法机关逮捕。

因为我们并不是当事人,所以对于具体的细节也不得而知。但从外传的部分资料我们应该可以大概得知,可能袁炜为了确认漏洞的真实性,获取了部分的数据。

从上面提到的「破坏计算机信息系统罪」可以知道,在没有免责声明的情况下,如果你通过非法手段获取了数据或者修改了数据,那么就存在对应的法律风险。

其实现在很多互联网厂商已经很重视系统安全,还专门开设了相应的漏洞提交平台。例如阿里巴巴的漏洞提交平台:阿里安全响应中心。通过该平台你能提交发现的漏洞,并能获取响应的金币奖励。

而腾讯也有响应的漏洞提交平台:腾讯安全应急响应中心

作为一个技术工作者,接二连三的事件告诉我们:不懂法并不能成为技术无罪的挡箭牌。我们在做相应的操作之前,一定要了解相关的法律法规,这样才不会让自己处于不利位置。

而作为一个技术工作者,我们应当掌握专业的漏洞处理姿势,而不是用来牟利。所以下次如果你发现漏洞了,请控制自己的贪欲,果断向官方提交漏洞!

文章首发于微信公众号「陈树义」,专注于 Java 技术分享的社区。点击链接扫描二维码,与500位小伙伴一起共同进步。微信公众号二维码 http://p3npq6ecr.bkt.clouddn.com/blog/chenshuyi_gongzhonghao_guide_full.jpg