网络犯罪案例分析-微博刷量(二) – 作者:DaaYou

蔡坤苗提供侵入、非法控制计算机信息系统程序、工具案

关键词

(1)提供侵入、非法控制计算机信息系统程序、工具罪

(2)微博刷量

图片[1]-网络犯罪案例分析-微博刷量(二) – 作者:DaaYou-安全小百科

基本案情

公诉机关北京市丰台区人民检察院。

被告人蔡坤苗,男,1995年5月30日出生于福建省泉州市,汉族,大学肄业,泉州市星援网络科技有限公司法定代表人,户籍地福建省泉州台商投资区;因涉嫌犯破坏计算机信息系统罪,于2019年3月8日被羁押,同年4月11日被逮捕,现羁押于北京市丰台区看守所。

2018年1月至2019年3月间,被告人蔡坤苗在未获得新浪微博授权的前提下,自行开发“星援”APP,有偿为他人提供不需要登录微博客户端即可转发微博博文及自动批量转发微博博文的功能。后大量软件用户以向“星援”APP充值的形式有偿使用该软件,并通过运行上述软件侵入新浪微博公司服务器。经鉴定,“星援”APP通过截取新浪微博服务器中对应账号的相关数据,后使用与其截取数据相同的网络数据格式向该服务器提交数据,完成与该服务器的交互,以实现在不登录微博客户端的情况下,可转发新浪微博博文的功能,也可以实现自动批量转发新浪微博博文的功能。经统计,至案发时该软件已有用户使用19万余个控制端微博账号登录,上述控制端账号绑定微博账号×××余万个,被告人蔡坤苗获取充值金额人民币600余万元

诉讼过程和结果

被告人蔡坤苗提供专门用于侵入计算机信息系统的程序,情节特别严重,其行为已构成提供侵入计算机信息系统程序罪,应予处罚。鉴于被告人蔡坤苗到案后如实供述基本犯罪事实,故本院对其予以从轻处罚。根据被告人蔡坤苗犯罪的事实、性质、情节及社会危害程度,本院依照《中华人民共和国刑法》第二百八十五条第二款、第三款,第五十二条,第五十三条,第六十七条第三款,第六十四条,第六十一条之规定,判决如下:

一、被告人蔡坤苗犯提供侵入计算机信息系统程序罪,判处有期徒刑五年,并处罚金人民币十万元。(刑期自判决执行之日起计算。判决执行以前先行羁押的,羁押一日折抵刑期一日。即自2019年3月8日起至20×××年3月7日止。罚金于判决生效后三十日内缴纳)。
二、继续追缴被告人蔡坤苗违法所得人民币六百二十五万三千七百五十二元八角六分予以没收
三、在案冻结的银行账户内资金人民币四十二万三千五百五十九元九角八分及其产生的孳息并入本判决第二项执行。
四、随案移送的扣押物品本院依法予以处理(详见清单)。

如不服本判决,可于接到判决书的第二日起十日内,通过本院或直接向北京市第二中级人民法院提出上诉。书面上诉的,应提交上诉状正本一份、副本一份。

图片[2]-网络犯罪案例分析-微博刷量(二) – 作者:DaaYou-安全小百科

案件分析

一、事件的起因

2018年,流量明星蔡徐坤的一条微博,居然有超过1亿的转发量。按照当年的微博注册用户量,这意味着每三个用户就有一个转发了那条微博,显然荒谬至极。

对此,《人民日报》官微还曾发文怒斥:“一亿转发量,你们也真敢刷!”

图片[3]-网络犯罪案例分析-微博刷量(二) – 作者:DaaYou-安全小百科

2019年6月,操纵刷量的幕后推手“星援”APP被查。

二、个人分析

根据公开的刑事判决书,关键性的评判有三点:
(1)在本案中法律上如何定义侵入这个概念,是评判本案的关键。法律上的侵入与我们渗透测试时候的侵入意义完全不一样,这一点要注意,我觉得也是非常值得探讨的地方。在网络安全的技术领域,侵入是指利用某种方式实实在在获取了服务器的全部权限或者部分权限,但在本案中“侵入”只需要对服务器的访问或者对软件的使用未经授权或者超越授权即成立侵入,这里的“未经授权”不是指安全漏洞“未授权访问”,要看相应的用户协议

我查看了《微博服务使用协议》看到几个关键条例:

1.3.2 未经微博运营方事先书面许可,用户不得自行或授权、协助任何第三方非法抓取微博内容,“非法抓取”是指采用程序或者非正常浏览等技术手段获取内容数据的行为。

1.4
用户在使用微博服务过程中应当严格遵守微博运营方所发布的Robots协议。
未经微博运营方事先书面同意,任何用户不得以任何方式自行或委托任何第三方以违反上述规定的方式访问微博平台或收集任何微博内容。

4.5
为维护微博平台的稳定运营,确保用户体验质量,未经微博运营方事先书面许可,任何人不得擅自在微博平台上实施自动化行为或发布垃圾信息。

4.5.1 自动化行为,是指未经微博运营方同意,用户自行或授权、协助第三方采用自动化手段或明显异于常人的、远高于正常用户频率地发布微博、评论、私信、头条文章或作出关注、点赞、抓取数据等的行为。

4.5.2 垃圾信息,是指未经微博运营方同意,擅自使用微博账号(包括通过作弊手段批量注册的微博账号、普通微博账号等)在微博、评论、私信、账号信息、头条文章、群聊内容中发布的营销信息、无意义信息或买卖粉丝信息。
用户知悉并同意,微博运营方有权根据技术规则通过检测验证等方式判断用户账号行为是否构成自动化行为、用户账号所发布的信息是否为垃圾信息,并采取相关措施予以处理。所有处理措施所依据的数据及信息(包括但不限于账号操作记录、微博内容、转评赞等)均以微博平台后台记录为准。

5.5.1 未经微博运营方及相关权利人同意,用户不得对上述功能、软件、服务进行反向工程 (reverse engineer)、反向编译(decompile)或反汇编(disassemble)等;同时,不得将上述内容或资料在任何媒体直接或间接发布、播放、出于播放或发布目的而改写或再发行,或者用于其他任何目的;

审判书原文:

第一,侵入的本质在于未经授权或者超越授权。被告人蔡坤苗通过反编译(违反微博服务使用协议5.5.1条)等手段获取微博服务器与客户端之间的的网络数据格式,自行开发星援APP,使得微博用户仅登录星援APP而无需登录微博客户端即能够实现转发微博博文等功能(违反微博服务使用协议4.5.1条)。综合被告人蔡坤苗的供述、证人崔某和李某的证言以及微博服务使用协议,能够证实被害单位北京微梦创科网络技术有限公司既未授权被告人蔡坤苗设计开发具有相关功能的软件,又未同意将星援APP接入微博平台,亦未同意用户可以绕过微博客户端而通过未经授权的软件登录微博并实现微博客户端的功能。故星援APP具备侵入计算机信息系统的本质特征。辩护人认为星援APP与新浪微博服务器发生交互具有授权以及星援APP与新浪服务器属于通信协议的交互行为非侵入行为的意见本院不予采纳

(2)第二个问题是,如何定义某一程序、工具是刑法第二百八十五条第三款规定的“专门用于侵入、非法控制计算机信息系统的程序、工具”,相关法条解释如下:

《最高人民法院、最高人民检察院关于办_理危害计算机信息系统安全刑事案件应用法律若干问题的解释》

第二条 具有下列情形之一的程序、工具,应当认定为刑法第二百八十五条第三款规定的“专门用于侵入、非法控制计算机信息系统的程序、工具”:

(一)具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权获取计算机信息系统数据的功能的;

(二)具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权对计算机信息系统实施控制的功能的;

(三)其他专门设计用于侵入、非法控制计算机信息系统、非法获取计算机信息系统数据的程序、工具。

审判书原文:

第三,避开或突破安全保护措施的方式具有多样性。一方面,被告人蔡坤苗通过反编译等手段获取源代码,并从源代码中获取密钥和特定算法。星援APP在运行过程中通过调取上述密钥及特定算法生成微博服务器所需数据格式,从而使得星援APP得以伪装成正常的客户端和被害单位服务器之间进行数据交互,且在转发微博博文时随机生成不同的硬件设备信息,避开了微博服务器对同一客户端连续请求的限制措施。另一方面,星援APP在登陆账号说明中明确提到“账号登录需要关闭微博保护”并载明在微博客户端进行关闭登录保护的具体操作步骤。从被告人蔡坤苗对该登录说明的解释以及被害单位出具的说明可以看出,登录保护作为保障微博账号安全的机制对于微博登录过程中客户端与服务器的数据交互过程亦起到了一定的安全保护作用。星援APP因开发量问题未对接该项功能,而让用户采取人工关闭方式使得该项安全保护措施被避开。故星援APP具备避开计算机信息系统安全保护措施的特征。辩护人认为星援APP未避开微博安全保护措施的意见本院不予采纳。

结合(1)、(2)两点,按照审判书原文可以发现审判书对“星援”APP的定义符合刑法第二百八十五条第三款“专门用于侵入、非法控制计算机信息系统的程序、工具”的规定。

(3)最后的定性。

有一个专业名词“选择性罪名”,是指一个条文规定了两种以上各自具有独立意义又在一个案件中可以联系在一起的行为的,只要具备其中一种行为,即可据其定一个罪名,如果行为人同时实施了其中几种紧密联系的行为,也只能按一罪处理的罪名。

在本案中刑法第二百八十五条第三款属于选择性罪名,提供侵入、非法控制计算机信息系统程序、工具罪,因为“星援”APP尚未达到控制控制微博服务器或客户端的程度,所以适用提供侵入计算机信息系统程序罪。

第六,星援APP的功能原理主要是将与微博客户端转发微博时相同的网络数据格式提交给微博服务器,使微博服务器误认为是微博客户端提交的网络数据,进而与星援APP发生数据交互,实现了转发微博博文的功能,星援APP尚未达到控制微博服务器或客户端的程度,且星援APP系软件程序,故本院对刑法第二百八十五条第三款的选择性罪名予以准确适用,以提供侵入计算机信息系统程序罪对被告人蔡坤苗定罪处罚。控辩双方的其他合理意见本院酌予采纳。

本案相关法律规定

《中华人民共和国刑法》

第二百八十五条 
(第一款)【非法侵入计算机信息系统罪】违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。

(第二款)【非法获取计算机信息系统数据、非法控制计算机信息系统罪】违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。

(第三款)【提供侵入、非法控制计算机信息系统程序、工具罪】提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的,依照前款的规定处罚。

(第四款)单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。

《最高人民法院、最高人民检察院关于办_理危害计算机信息系统安全刑事案件应用法律若干问题的解释》

第二条 具有下列情形之一的程序、工具,应当认定为刑法第二百八十五条第三款规定的“专门用于侵入、非法控制计算机信息系统的程序、工具”:

(一)具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权获取计算机信息系统数据的功能的;

(二)具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权对计算机信息系统实施控制的功能的;

(三)其他专门设计用于侵入、非法控制计算机信息系统、非法获取计算机信息系统数据的程序、工具。

第三条 提供侵入、非法控制计算机信息系统的程序、工具,具有下列情形之一的,应当认定为刑法第二百八十五条第三款规定的“情节严重”:

(一)提供能够用于非法获取支付结算、证券交易、期货交易等网络金融服务身份认证信息的专门性程序、工具五人次以上的;

(二)提供第(一)项以外的专门用于侵入、非法控制计算机信息系统的程序、工具二十人次以上的;

(三)明知他人实施非法获取支付结算、证券交易、期货交易等网络金融服务身份认证信息的违法犯罪行为而为其提供程序、工具五人次以上的;

(四)明知他人实施第(三)项以外的侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具二十人次以上的;

(五)违法所得五千元以上或者造成经济损失一万元以上的;

(六)其他情节严重的情形。

实施前款规定行为,具有下列情形之一的,应当认定为提供侵入、非法控制计算机信息系统的程序、工具“情节特别严重”:

(一)数量或者数额达到前款第(一)项至第(五)项规定标准五倍以上的;

(二)其他情节特别严重的情形。

《中华人民共和国刑法》

第五十二条【罚金的判处】
判处罚金,应当根据犯罪情节决定罚金数额。

第五十三条【罚金的缴纳】
罚金在判决指定的期限内一次或者分期缴纳。期满不缴纳的,强制缴纳。对于不能全部缴纳罚金的,人民法院在任何时候发现被执行人有可以执行的财产,应当随时追缴。如果由于遭遇不能抗拒的灾祸缴纳确实有困难的,可以酌情减少或者免除。

第六十七条【自首】
(第一款)犯罪以后自动投案,如实供述自己的罪行的,是自首。对于自首的犯罪分子,可以从轻或者减轻处罚。其中,犯罪较轻的,可以免除处罚。

(第二款)被采取强制措施的犯罪嫌疑人、被告人和正在服刑的罪犯,如实供述司法机关还未掌握的本人其他罪行的,以自首论。

(第三款)犯罪嫌疑人虽不具有前两款规定的自首情节,但是如实供述自己罪行的,可以从轻处罚;因其如实供述自己罪行,避免特别严重后果发生的,可以减轻处罚。

第六十四条【犯罪物品的处理】

犯罪分子违法所得的一切财物,应当予以追缴或者责令退赔;对被害人的合法财产,应当及时返还;违禁品和供犯罪所用的本人财物,应当予以没收。没收的财物和罚金,一律上缴国库,不得挪用和自行处理。

第六十一条【量刑原则】
对于犯罪分子决定刑罚的时候,应当根据犯罪的事实、犯罪的性质、情节和对于社会的危害程度,依照本法的有关规定判处。

来源:freebuf.com 2021-03-24 10:37:13 by: DaaYou

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论