碩士為泄憤黑掉北京搖號(hào)網(wǎng)站曾為高考狀元_高考信息

當(dāng)前位置:評價(jià)網(wǎng) > 高考咨詢 > 高考資訊 > 高考信息 > 正文

碩士為泄憤黑掉北京搖號(hào)網(wǎng)站曾為高考狀元

來源：新京報(bào)

發(fā)布時(shí)間：2013-10-14 08:46

分享到：

　　昨日，張利斌到庭受審。去年12月23日，他惡意訪問小客車搖號(hào)網(wǎng)站，非法獲取手機(jī)號(hào)92萬余個(gè)。新京報(bào)記者周崗峰攝

　　新京報(bào)訊 2012年12月23日凌晨，參與小客車搖號(hào)的多位市民收到小客車指標(biāo)辦發(fā)來的“短信驗(yàn)證碼”，讓大家一頭霧水。事后，小客車指標(biāo)辦發(fā)聲明稱系統(tǒng)被惡意騷擾。昨日，該事件的“幕后黑手”張利斌在朝陽法院受審。

　　非法獲取手機(jī)號(hào)92萬個(gè)

　　昨天一早，被取保候?qū)彽膹埨笊碇谝鲁霈F(xiàn)在法庭，并未見家人陪同。被告席上，他始終低頭，對于公訴機(jī)關(guān)的指控，他當(dāng)庭表示認(rèn)罪。

　　據(jù)介紹，張利斌1981年出生，碩士研究生文化，畢業(yè)后戶籍從老家山東文登轉(zhuǎn)入北京市朝陽區(qū)。

　　公訴機(jī)關(guān)指控，張利斌于2012年12月23日3時(shí)至13時(shí)許，在其位于朝陽區(qū)育慧的家中，利用計(jì)算機(jī)網(wǎng)絡(luò)遠(yuǎn)程控制技術(shù)及自編的計(jì)算機(jī)程序軟件，向北京市小客車指標(biāo)調(diào)控管理信息系統(tǒng)網(wǎng)站“忘記密碼”功能中的“獲取短信驗(yàn)證碼”鏈接，惡意訪問達(dá)3000余萬次，非法獲取網(wǎng)站注冊申請人的手機(jī)號(hào)碼92萬余個(gè)，造成網(wǎng)站向注冊申請人的手機(jī)號(hào)碼發(fā)送短信驗(yàn)證碼92萬余條，系統(tǒng)關(guān)閉“忘記密碼”功能達(dá)2小時(shí)30分，造成北京市交通委員會(huì)短信資費(fèi)損失4萬余元及嚴(yán)重的社會(huì)影響，應(yīng)以涉嫌破壞計(jì)算機(jī)信息系統(tǒng)罪追究其法律責(zé)任。

　　攻擊網(wǎng)站為發(fā)泄不滿

　　事發(fā)后，被告人張利斌被警方控制。張利斌說，攻擊指標(biāo)辦網(wǎng)站的原因一是對北京市的搖號(hào)政策不滿，想要發(fā)泄。二是為了獲取大量手機(jī)號(hào)，來群發(fā)短信推廣自己研發(fā)的軟件。但是，不僅沒有達(dá)到推廣軟件的效果，還觸犯了法律。

　　此案昨日未當(dāng)庭宣判。

　　追訪

　　從優(yōu)等生變“黑客”

　　在昨天的庭審上，張利斌自稱，“我和愛人都是高級知識(shí)分子，雖然有一技之長，但卻沒有學(xué)會(huì)如何遵守法律?！边@位名牌大學(xué)的碩士畢業(yè)生為何會(huì)走上犯罪的道路？

　　“高考狀元”創(chuàng)業(yè)受打擊

　　張利斌是山東省文登市人，獨(dú)生子女，上學(xué)時(shí)成績優(yōu)秀。他供述說，1999年，他以文登市高考第一名的身份考入北航計(jì)算機(jī)科學(xué)與工程專業(yè)，并在班里結(jié)識(shí)了現(xiàn)在的妻子。4年后，他們順利考上碩士研究生，2006年畢業(yè)。次年，兩人結(jié)婚。

　　但是，翻開張利斌的履歷，他幾乎每年換一份工作。2007年在一家外資企業(yè)做軟件工程師，2008年做過互聯(lián)網(wǎng)信息中心軟件工程師。在此期間，他擅自改動(dòng)中國互聯(lián)網(wǎng)信息中心的互聯(lián)網(wǎng)域名注冊系統(tǒng)，造成個(gè)別網(wǎng)絡(luò)域名不能被別人注冊，被警方行政告誡。2009年他再次換工作。

　　他說，雖然家庭收入很高，仍感覺生活壓力特別大，尤其是生了兩個(gè)孩子后。按政策，他和妻子不能生二胎，就因?yàn)榈诙€(gè)孩子，他把工作辭了待業(yè)在家。

　　創(chuàng)業(yè)期間，他接連遭受打擊。第一次是開發(fā)了一款叫“小兵掛號(hào)”的掛號(hào)軟件，卻很少有人用；第二次是去年9月，他父親腦梗塞發(fā)作住院。因母親有病，父親只能住養(yǎng)老院，父母天天吃藥還需要人照顧，讓沒有固定工作的他生活壓力更大。

　　多次搖號(hào)未中想泄憤

　　在壓力最大時(shí)，他偶然間找到了發(fā)泄渠道。2012年底，他在一次登錄小客車搖號(hào)網(wǎng)站時(shí)，發(fā)現(xiàn)網(wǎng)站“密碼找回”功能存在漏洞—隨意輸入手機(jī)號(hào)，就可以讓系統(tǒng)發(fā)送驗(yàn)證碼。出于職業(yè)特性，他發(fā)現(xiàn)網(wǎng)站漏洞后，就考慮著如何利用漏洞做一些對自己有利的事。

　　首先，他想到泄憤。他說，自己曾把名下的車賣了獲得購車指標(biāo)后，沒有及時(shí)換車，指標(biāo)便過期了，而妻子一直搖號(hào)不成功，他逐漸對北京搖號(hào)政策不滿，想攻擊網(wǎng)站。

　　其次，他正苦于如何推廣“小兵掛號(hào)”，希望設(shè)計(jì)一款軟件，通過“獲取短信驗(yàn)證碼”的方式探測哪些用戶注冊了搖號(hào)系統(tǒng)，以獲取大量有效的手機(jī)號(hào)，群發(fā)短信推廣他的軟件。

　　為了完成操作，他花了幾天時(shí)間：在網(wǎng)上找出了北京地區(qū)手機(jī)號(hào)段的起止范圍，找到了5000多萬個(gè)手機(jī)號(hào)碼，還找了300多個(gè)代理IP寫入自己的“攻擊”程序里。

　　23日凌晨，他便進(jìn)行實(shí)操了。通俗講，就是用他開發(fā)的軟件模擬“忘記密碼”的申請人，在“找回密碼”項(xiàng)目中填寫手機(jī)號(hào)。如果輸入的手機(jī)號(hào)是在網(wǎng)站上注冊過的搖號(hào)申請人，那么，在申請人莫名獲得驗(yàn)證碼的同時(shí)，他在后臺(tái)能獲取“短信驗(yàn)證碼已發(fā)送”的反饋，可用的號(hào)碼會(huì)自動(dòng)保存到他的文件里。就這樣，他獲取了92萬余在搖號(hào)網(wǎng)站注冊的手機(jī)號(hào)。

　　看新聞才知“鬧大了”

　　“說實(shí)話，攻擊網(wǎng)站后，第一感覺是出了口氣?！绷璩?，盯了兩個(gè)小時(shí)電腦后，他睡了。但白天恐懼卻襲來。當(dāng)天中午，交通委發(fā)現(xiàn)被惡意攻擊，立即彌補(bǔ)了漏洞，同時(shí)對此事件發(fā)出公告；晚上，相關(guān)新聞報(bào)道已鋪天蓋地，張利斌“開始害怕”。

　　“新聞報(bào)道了這件事，當(dāng)時(shí)我就意識(shí)到鬧大了?！钡谝粫r(shí)間，張利斌趕緊改了幾個(gè)服務(wù)器地址，但沒改全就因?yàn)槊e的事情忘了。

　　三天后，他在網(wǎng)上找了短信群發(fā)的代理商，花一千多買了2萬條群發(fā)空間。然后，他在獲取的92萬余條手機(jī)號(hào)碼中，選擇了7000多個(gè)號(hào)碼開始群發(fā)短信，推廣“小兵掛號(hào)”。但還沒取得任何效果，他就被警方控制。

　　張利斌說，雖然小客車搖號(hào)用戶與就醫(yī)用戶并非一個(gè)群體，但他沒有別的推銷渠道，“參與小客車指標(biāo)搖號(hào)的用戶也是比較有錢的群體，他們也會(huì)有生病就醫(yī)的時(shí)候，我就這么做了?！?/p>

　　非法獲取92萬余手機(jī)號(hào)步驟

　　在網(wǎng)上搜出北京地區(qū)手機(jī)號(hào)段的起止范圍，找到5000多萬個(gè)手機(jī)號(hào)，并寫“攻擊”程序，還找了300多個(gè)代理IP寫入程序

　　利用網(wǎng)絡(luò)遠(yuǎn)程控制技術(shù)及自編軟件，在北京市小客車指標(biāo)調(diào)控管理信息系統(tǒng)網(wǎng)站上，模擬“忘記密碼”的申請人，在“找回密碼”項(xiàng)目中填寫手機(jī)號(hào)

　　如果手機(jī)號(hào)是在網(wǎng)站上注冊過的搖號(hào)申請人，該號(hào)碼會(huì)自動(dòng)保存，如果未注冊過，則看到“手機(jī)號(hào)碼未注冊”字樣。共獲取92萬余個(gè)可用號(hào)碼

　　在獲取的92萬余條手機(jī)號(hào)碼中，向其中的7000多個(gè)號(hào)碼群發(fā)短信，推廣其研發(fā)的“小兵掛號(hào)”軟件

　　事件回顧

　　2012年12月23日凌晨3時(shí)許至中午，許多購車搖號(hào)的市民手機(jī)上收到了落款“小客車指標(biāo)辦”發(fā)送的6位“短信驗(yàn)證碼”，一些市民誤以為中簽了，還有市民認(rèn)為信息被泄露。隨后，小客車指標(biāo)辦在網(wǎng)站發(fā)布信息稱，發(fā)送驗(yàn)證碼是系統(tǒng)一項(xiàng)服務(wù)功能，對搖號(hào)申請人沒有影響。之后，又發(fā)布“二度聲明”稱，是系統(tǒng)被惡意騷擾，并強(qiáng)調(diào)申請人信息沒有泄露。

　　說法

　　用戶信息被利用網(wǎng)站有責(zé)任

　　DCCI互聯(lián)網(wǎng)研究院院長劉興亮介紹，張利斌的攻擊是模擬用戶的行為，對于系統(tǒng)來說，就好像一個(gè)用戶在使用“找回密碼”功能，如果網(wǎng)站對這方面防范不強(qiáng)，批量竊取信息很容易實(shí)現(xiàn)。

　　他舉例說，就如同設(shè)置郵箱密碼的“安全級別”一樣，如果用一串?dāng)?shù)字做密碼，用軟件從1到10不停比對，利用計(jì)算公式可以幾秒內(nèi)演算出來，而數(shù)字和字母的組合則需要一兩年，加上符號(hào)可能需要十幾年才能演算出來。此前搖號(hào)網(wǎng)站只需要輸入一串手機(jī)號(hào)，防范級別不高，容易被攻破。

　　劉興亮認(rèn)為，對于搖號(hào)網(wǎng)站這種涉及公眾身份信息的網(wǎng)站，更應(yīng)該增加防范級別。因防范不慎被犯罪分子利用，網(wǎng)站的維護(hù)者是有責(zé)任的。因此，希望掌握隱私信息的網(wǎng)站一定要做好安全防范，增強(qiáng)責(zé)任心。

　　體驗(yàn)

　　網(wǎng)站已升級需加輸證件號(hào)

　　昨日，記者進(jìn)入小客車指標(biāo)調(diào)控管理信息系統(tǒng)，點(diǎn)擊“找回密碼”功能，需要填寫“證件號(hào)碼”、“手機(jī)號(hào)”、“圖片驗(yàn)證碼”之后，才能“點(diǎn)擊獲取短信驗(yàn)證碼”。填寫完畢，1分鐘內(nèi)，記者輸入的手機(jī)號(hào)便收到“小客車指標(biāo)辦”的6位驗(yàn)證密碼。

　　據(jù)介紹，這是在2012年12月23日，該網(wǎng)站被攻擊后，交通委加強(qiáng)了系統(tǒng)安全防護(hù)功能。

　　記者獲悉，搖號(hào)網(wǎng)站的短信驗(yàn)證碼發(fā)送功能需要向中國移動(dòng)支付每條0.05元的費(fèi)用，正常每日發(fā)送量為4000余條，費(fèi)用是交通委承擔(dān)，但此次張利斌的惡意攻擊，使向用戶發(fā)送信息量大量增加，造成不必要損失達(dá)4.7萬元。

　　本版采寫/新京報(bào)記者劉洋

【中國科教評價(jià)網(wǎng)say1888.cn】

[發(fā)布者：yezi]