为了泄愤，“黑”了摇号网

　　【√】张利斌其实算不上黑客，但在个人隐私泄露层出不穷的时代，他的行为注定会引起市民的不安和媒体的关注，从而扩大他无法控制的社会影响。而这种不安既来源于防不胜防的网络犯罪，还来自于公民维权的法律之困

　　12月11日，北京市朝阳区法院对张利斌“黑”掉摇号网站一案进行了判决，张利斌以非法获取计算机信息系统数据罪被判有期徒刑一年，缓刑一年。

　　这位引起媒体广泛关注的北航高材生，高考时以文登市高考状元的身份进入大学，又顺利考取了研究生，毕业以后还同同班的女友终成眷属。用他自己的话来说，他们夫妇也算是 “高级知识分子”。

　　然而，张利斌的这次“黑客 ”行动却引起了轩然大波，最终导致他被推上了刑事审判的被告席。

　　“黑” 掉摇号网站

　　张利斌硕士毕业后先后在外企、互联网信息中心和两家内资公司待过。

　　虽然张利斌和他妻子都在大公司上班，收入也不低，但他有一块心病，一直想要第二个孩子，后来便到香港生了第二个孩子。但因为这样不符合国家政策，公司方面也因此一直向张利斌施压，2012 年5 月，他又辞去了软件工程师的工作。

　　从辞职开始，张利斌便把精力投入到独立开发 “小兵挂号” 软件上去。但这款用来在北京市预约挂号平台抢号的收费软件并没有取得预想中的成功。

　　2012年8月，张利斌在登陆小客车系统时发现可以随意输入手机号让系统发送验证码。职业特性使他敏锐地意识到这是个漏洞，便想利用该漏洞做一些对自己有利的事情。

　　2012 年12月中旬，张利斌遭遇了一连串不顺心的事：父亲病重住院、儿子生病做手术，自己和妻子一直没摇到购车指标更弄得他心烦意乱。

　　这时，他记起了小客车指标系统的漏洞，一来想通过这种方式泄愤，二来想从网站弄一些手机号码，好通过给这些号码发短信推广一下小兵挂号。于是从 2012 年中旬起，他便用自己的笔记本电脑开发起了针对小客车系统 “忘记密码” 功能进行攻击的软件。他把这款软件命名为 “digmobile”，即“ 手机挖掘机”。

　　同时，他还通过百度收集到300 多个北京地区的手机号段，以及300 多个免费的代理 IP。为了这次行动，张利斌还花了400 多美元租用了两台日本服务器以隐藏自己真实的IP地址，然后对程序进行了测试。

　　几次测试下来，确定自己写的程序没有问题之后，张利斌将编写的程序上传到两个服务器上。该程序会不断重复登录摇号网站，在该网站注册过的手机号码会被程序自动记录下来，并且摇号网站会给该手机号码发送验证短信，声称密码丢失，需要该短信验证找回密码。

　　软件运行之后，张利斌在电脑旁盯到5点多就去睡觉了。当天早上8点和13点，他又分别观察了两次。中午这次发现摇号网站弥补了之前的漏洞，改成额外需要输入身份证号码了，程序就失效了，于是张利斌就停止了程序。

　　就这样，从12 月23 日凌晨 3 点一直到程序停止运行，摇号网站接受了3000 多万次恶意访问。而张利斌获取了 90 多万个在网站注册过的手机号码。

　　“黑客” 不“黑 ”？

　　12月 23日晚上，张利斌在自己的手机早晚报上看到了关于此事的新闻报道。当时，他意识到事情闹大了，心里也害怕，就把 IP 地址改了。但他又嫌改服务器地址麻烦，只改了一个，加上还有其他事要忙，他就把修改另一个IP地址的事给忘了。

　　过了三四天，张利斌又通过水木社区网站找了两家短信群发的代理商，从 90 多万个手机号码中提取与自己手机号码相近的 7000 多个手机号，群发了 “小兵挂号” 的推销短信。

　　令张利斌没想到的是，12月 30日，北京市公安局网络安全保卫总队通过技术手段锁定了他的位置，公安机关随即将其抓获。

　　公安机关将案件移送检察院时的罪名是破坏计算机系统罪，但是检察院起诉时改成了非法获取计算机系统数据罪。

　　办案检察官宋迎新解释道：“公安机关认定是破坏计算机系统罪，主要是因为他们认定张利斌的攻击行为之后，网站瘫痪了。但是后来检察院调查的时候发现，是摇号网站为了遏制损失，主动关闭了忘记密码功能。 ”

　　现场处理该事件的技术人员刘波也在证言里证明，是他采取的关闭系统找回密码功能的应急措施，后来网站系统就恢复了正常。网站“忘记密码”功能关闭了大约2.5个小时，此次恶意访问行为没有造成网站瘫痪。

　　宋迎新说：“他这个行为是一种攻击行为，属于刑法第二百八十五条第二款‘采用其他技术手段，获取该计算机信息系统存储的数据’。如果是入侵的话，后果更为严重。 ”

　　检察机关认为没有逮捕必要性，对张利斌作出不予批准逮捕的决定。

　　“他给我的印象蛮温文尔雅的，很明显的工科男，思想比较简单。他做这个事之前也没有想到会上升到犯罪这么严重的层次，觉得这么大一个网站，几千万次访问没什么问题，不会给网站带来多大影响。 ”办案检察官告诉记者。

　　互联网从业人士告诉记者：“张利斌采用的是穷举手机号的方法，通过重复对找回密码的URL链接发送请求来筛选注册号码。只是将重复访问的过程自动化而已，技术含量低，也没有入侵服务器，还算不上黑客行为。 ”

　　为什么张利斌在看到媒体报道以后还找代理商群发短信推广自己的 “小兵挂号” 软件？

　　检察官说：“一方面是没想到能找到他，另外一方面，他觉得既然已经这么做了，至少也得有些收益，想继续推销这个软件。 ”

　　“要是没有那么大社会影响的话，从他的犯罪性质来讲不是特别严重的犯罪行为。从他个人来讲，他认为这不是一种攻击，是一种重复登陆的行为。也没想到北京市交通委还要为此付短信费。 ”检察官说道，“庭审阶段，张利斌已赔偿了交通委4万多的经济损失。”

　　亚太网络法律研究中心主任刘德良教授分析说：“张利斌通过软件间接地获取了有效的手机号码，数量巨大，超出了一般意义上的重复登陆，超出了一般所理解的用户权限，并且想通过发送短信推销自己的软件，目的是非法的，而且具有一定的社会危害性。根据最高院关于办理危害计算机信息系统安全刑事案件的司法解释，符合刑法中的非法获取计算机系统数据罪。其行为是否是重复登陆和犯罪成立与否没有关系。”

　　“短信骚扰” 造成的社会影响

　　张利斌被起诉的重要原因是其“黑客”行动造成的社会影响。

　　2012年 12 月24 日，各大媒体都对市民收到小客车指标办短信验证码事件进行了报道。有部分市民还以为自己摇到了号，打开官网一查才发现是空欢喜一场。

　　事件发生后，市小客车指标调控管理办公室发布一条 “温馨提示” 称：近日，小客车指标管理信息系统给部分小客车指标申请人发送 “短信验证码”信息，是系统的一项服务功能，对摇号申请人没有影响。

　　然而，这一含糊的声明却没有 “辟谣” 成功。媒体报道称很多市民对此事不解，既然信息确实是系统正常发送，为何要选择半夜发送？为何已中签者也收到短信？小客车指标办所说的服务，究竟是什么服务？更有市民质疑是不是个人信息泄露了，或是有人非法操纵摇号。

　　一时间，小客车信息系统的 “政策咨询” 栏目充满了 “为何无故收到短信验证码 ”等问题，经统计这类问题提问人数共有481 人次。北京市交通委官方微博 “@ 交通北京”在 23日当天接到相关问题私信10 条，评论 5 条，@约 100 余条。而小客车指标办办公室接到问询电话 65 个，城六区政府对外办事大厅小客车服务窗口共接到问询电话 1320 个，现场咨询人数达到 504个，甚至出现了 122个为此进行“闹访 ”的人员。

　　这次事件引起了北京市委领导的重视，副市长和公安局长都做了批示。公安机关通过技术手段侦查于 12 月30 日破获此案，抓获犯罪嫌疑人张利斌。

　　2012年12 月31 日，小客车指标办发布“情况通报 ”：客车指标管理信息系统非正常发送的 “短信验证码”手机短信，我们及时向公安机关报案，公安机关于31 日破获该案。经查，犯罪嫌疑人利用小客车指标申请人找回密码的服务功能，对申请人实施恶意骚扰，系统中的申请人信息没有泄露。

　　但是这样的情况通报并没有打消市民的顾虑。据媒体报道，对此 “二度声明” ，仍有市民不买账，称犯罪嫌疑人如何掌握众多申请人的手机号码进行找回密码 “骚扰” ，为何事发当天小客车指标办发布的声明不提及 “已报案” ，而只说是 “系统服务功能”如此含糊。

　　数字时代的隐私隐患

　　市民的担忧并非空穴来风。

　　刘德良总结出计算机、网络犯罪发展的五个新特点：一、计算机犯罪从犯罪对象上看，非金融类的数据成为犯罪分子的新目标；二、从目的上讲，从原来的主要为了炫耀技术转变为以牟利为目的；三、从组织形态来看，趋于组织化、集团化，从程序开发，到盗取客户信息，再到出售信息或用于诈骗，形成完整的产业链；四、从形态上看，主要表现为网络攻击和诈骗；五、从年龄上讲逐渐趋于低龄化。

　　而近年来，电信运营商、互联网企业、政府部门、域名服务机构、安全厂商等遭受黑客攻击导致个人信息泄露的案例层出不穷。

　　据2012年中国互联网网络安全报告的不完全统计，2012 年有50 余个我国网站用户信息数据库在互联网上公开流传或通过地下黑色产业链进行售卖，其中已证实确为真实信息的数据近 5000 万条。同时，由于网民习惯在不同网站使用同样的账号和密码，受 2011 年年底发生的 CSDN、天涯社区等网站信息泄露事件影响， 2012 年又有多个电商网站和论坛被披露由此导致用户个人信息泄露。

　　规模最大的一次用户资料泄密事件是著名的互联网程序员社区网站 CSDN 。

　　2011年12 月，CSDN 网站的用户数据库被黑客公布在网络上，其中包括 600 余万个注册邮箱账号和与之对应的明文密码。更有黑客用这些账号和密码去试探其他网站，例如支付宝、QQ 游戏网站，导致使用相同账号密码的用户遭受经济损失。

　　而政府网站同样是受黑客攻击的重灾区。

　　据报告统计， 2012 年，我国境内被篡改网站数量为 16388 个，其中政府网站有 1802个，较 2011年分别增长6.1% 和21.4% ；被暗中植入后门的网站有52324 个，其中政府网站有 3016个，较2011年月均分别大幅增长213.7%和 93.1% 。

　　政府网站建设的不完善也使得菜鸟黑客频频拿其“练手”。

　　2010年，一位年仅18 岁的QQ 名字为“h4cker7 雅”的黑客侵入瑞安规划建设局网站，将首页置换成一个 “肌肉男” ，其原因是为了 “练手” 和“学习 ”。他还对记者说自己至少黑过上百家政府网站。在这之前，来自内蒙古的高中生王少伟黑掉随州市政府信息网只用了几秒钟， “黑” 呼和浩特市人才网和呼和浩特市财政网，用了两个小时左右。

　　国家计算机网络应急中心的报告指出：政府网站易被篡改的主要原因是网站整体安全性差，缺乏必要的经常性维护和安全配置升级，某些政府网站被篡改后长期无人过问，或虽然对被篡改页面进行了恢复，但并没有真正检查原因和根除安全隐患，导致多次遭受篡改攻击。

　　正是在这样的背景下，张利斌案引起了市民对个人隐私泄露的怀疑和焦虑，并吸引了各大媒体相继进行了报道，造成了较大的社会影响。

　　网络犯罪背后的法律困境

　　在计算机、网络犯罪不断发展的背后是现有法律体系难以有效打击跨国跨地域的网络攻击，以及维权成本和最终赔偿与犯罪成本和犯罪收益之间的双重落差。

　　刘德良说：“互联网犯罪和传统犯罪形态不一样，比如实施犯罪的服务器具有跨国跨地域的特点。这使得追踪犯罪者的技术难度高，成本很高。诈骗由于涉及犯罪链较长，还可以通过追踪银行账户的交易抓获犯罪分子。但对于一些网络攻击行为，在现有的法律体制下，很难找到攻击者。 单纯靠一个国家的法律很难得到有效的解决，国际合作非常必要，但由于涉及的因素复杂，过程会比较漫长。”

　　除了刑法，如果公民个人信息被泄露被交易，公民能通过其他途径维护自己的合法权益吗？

　　“我们传统上把买卖个人信息认为是侵犯隐私权，侵犯隐私权属于人格侵权，人格侵权获得的救济一般是非财产责任救济。对受害人来讲，即便赢了官司也赔了钱。所以现在没有人愿意去维权。而手机号码是否属于隐私在目前法学界还存有分歧，法院也不一定受理。从加害人的角度看，侵权的成本很低，不用承担财产责任，客观上鼓励了侵权。现在还难以找到有效的方式来解决这个问题。 ”刘德良分析说。

　　针对市民的焦虑，刘德良认为可以从两方面来解决个人信息侵权问题。

　　第一、我国实际已有相关法律。但由于主要参考了2011年由欧盟和美国、日本、加拿大等30个国家签署的网络犯罪公约，在适用过程中存在一些问题，无法满足实际操作的需求。将来立法首先是要弥补其中的法律漏洞，完善相关条文，从而有效打击窃取、倒卖个人信息的行为。

　　第二，在未来的立法上要承认个人信息的商业价值。每次侵权考虑到受害人的维权成本，由法律规定最低赔偿数额比如两千或三千，如果受害人能够证明实际损失超过上述数额，可以按照实际损失赔。这样可以加大侵权成本，遏制侵权行为。

　　如何设置安全的密码

　　一、不要在所有网站都用同一个用户名和密码。这相当于将所有网站泄露的风险集中到了一起。

　　二、密码长度最重要。比如某台超级计算机的运算能力时每秒2^56次运算组合，破解8个字符组成的密码只需要4分16秒。但密码长度达到16个时，149万亿年，比太阳的寿命还长。

　　三、避免将个人信息、网站信息加入密码等常见的密码设置习惯。黑客们在长期攻击中归纳了“密码词典”。比如高达25%的人将网站名称放在密码里，这会提高黑客暴力破解时的精准性。类似的还有词典词汇、地名、短语、纯数字、纯字母。

　　四、用统一的规则来设置密码可以免除不同密码带来的记忆难问题。比如在设定基础密码以后，在键盘上将基础密码的按键上移一格生成新密码。

　　五、如果觉得这些都太麻烦，就用随机密码生成器吧！不仅有在线网站可以自动生成，甚至还有专门的软件可供下载。

　　《方圆》见习记者 徐小康／文