昨日,張利斌到庭受審。去年12月23日,他惡意訪問小客車搖號網站,非法獲取手機號92萬余個。新京報記者 周崗峰 攝
新京報訊 2012年12月23日凌晨,參與小客車搖號的多位市民收到小客車指標辦發來的“短信驗證碼”,讓大家一頭霧水。事后,小客車指標辦發聲明稱系統被惡意騷擾。昨日,該事件的“幕后黑手”張利斌在朝陽法院受審。
非法獲取手機號92萬個
昨天一早,被取保候審的張利斌身著黑衣出現在法庭,并未見家人陪同。被告席上,他始終低頭,對于公訴機關的指控,他當庭表示認罪。
據介紹,張利斌1981年出生,碩士研究生文化,畢業后戶籍從老家山東文登轉入北京市朝陽區。
公訴機關指控,張利斌于2012年12月23日3時至13時許,在其位于朝陽區育慧的家中,利用計算機網絡遠程控制技術及自編的計算機程序軟件,向北京市小客車指標調控管理信息系統網站“忘記密碼”功能中的“獲取短信驗證碼”鏈接,惡意訪問達3000余萬次,非法獲取網站注冊申請人的手機號碼92萬余個,造成網站向注冊申請人的手機號碼發送短信驗證碼92萬余條,系統關閉“忘記密碼”功能達2小時30分,造成北京市交通委員會短信資費損失4萬余元及嚴重的社會影響,應以涉嫌破壞計算機信息系統罪追究其法律責任。
攻擊網站為發泄不滿
事發后,被告人張利斌被警方控制。張利斌說,攻擊指標辦網站的原因一是對北京市的搖號政策不滿,想要發泄。二是為了獲取大量手機號,來群發短信推廣自己研發的軟件。但是,不僅沒有達到推廣軟件的效果,還觸犯了法律。
此案昨日未當庭宣判。
■ 追訪
從優等生變“黑客”
在昨天的庭審上,張利斌自稱,“我和愛人都是高級知識分子,雖然有一技之長,但卻沒有學會如何遵守法律。”這位名牌大學的碩士畢業生為何會走上犯罪的道路?
“高考狀元”創業受打擊
張利斌是山東省文登市人,獨生子女,上學時成績優秀。他供述說,1999年,他以文登市高考第一名的身份考入北航計算機科學與工程專業,并在班里結識了現在的妻子。4年后,他們順利考上碩士研究生,2006年畢業。次年,兩人結婚。
但是,翻開張利斌的履歷,他幾乎每年換一份工作。2007年在一家外資企業做軟件工程師,2008年做過互聯網信息中心軟件工程師。在此期間,他擅自改動中國互聯網信息中心的互聯網域名注冊系統,造成個別網絡域名不能被別人注冊,被警方行政告誡。2009年他再次換工作。
他說,雖然家庭收入很高,仍感覺生活壓力特別大,尤其是生了兩個孩子后。按政策,他和妻子不能生二胎,就因為第二個孩子,他把工作辭了待業在家。
創業期間,他接連遭受打擊。第一次是開發了一款叫“小兵掛號”的掛號軟件,卻很少有人用;第二次是去年9月,他父親腦梗塞發作住院。因母親有病,父親只能住養老院,父母天天吃藥還需要人照顧,讓沒有固定工作的他生活壓力更大。
多次搖號未中想泄憤
在壓力最大時,他偶然間找到了發泄渠道。2012年底,他在一次登錄小客車搖號網站時,發現網站“密碼找回”功能存在漏洞——隨意輸入手機號,就可以讓系統發送驗證碼。出于職業特性,他發現網站漏洞后,就考慮著如何利用漏洞做一些對自己有利的事。
首先,他想到泄憤。他說,自己曾把名下的車賣了獲得購車指標后,沒有及時換車,指標便過期了,而妻子一直搖號不成功,他逐漸對北京搖號政策不滿,想攻擊網站。
其次,他正苦于如何推廣“小兵掛號”,希望設計一款軟件,通過“獲取短信驗證碼”的方式探測哪些用戶注冊了搖號系統,以獲取大量有效的手機號,群發短信推廣他的軟件。
為了完成操作,他花了幾天時間:在網上找出了北京地區手機號段的起止范圍,找到了5000多萬個手機號碼,還找了300多個代理IP寫入自己的“攻擊”程序里。
23日凌晨,他便進行實操了。通俗講,就是用他開發的軟件模擬“忘記密碼”的申請人,在“找回密碼”項目中填寫手機號。如果輸入的手機號是在網站上注冊過的搖號申請人,那么,在申請人莫名獲得驗證碼的同時,他在后臺能獲取“短信驗證碼已發送”的反饋,可用的號碼會自動保存到他的文件里。就這樣,他獲取了92萬余在搖號網站注冊的手機號。
看新聞才知“鬧大了”
“說實話,攻擊網站后,第一感覺是出了口氣。”凌晨,盯了兩個小時電腦后,他睡了。但白天恐懼卻襲來。當天中午,交通委發現被惡意攻擊,立即彌補了漏洞,同時對此事件發出公告;晚上,報道已鋪天蓋地,張利斌“開始害怕”。
“新聞報道了這件事,當時我就意識到鬧大了。”第一時間,張利斌趕緊改了幾個服務器地址,但沒改全就因為忙別的事情忘了。
三天后,他在網上找了短信群發的代理商,花一千多買了2萬條群發空間。然后,他在獲取的92萬余條手機號碼中,選擇了7000多個號碼開始群發短信,推廣“小兵掛號”。但還沒取得任何效果,他就被警方控制。
張利斌說,雖然小客車搖號用戶與就醫用戶并非一個群體,但他沒有別的推銷渠道,“參與小客車指標搖號的用戶也是比較有錢的群體,他們也會有生病就醫的時候,我就這么做了。”
非法獲取92萬余手機號步驟
1
在網上搜出北京地區手機號段的起止范圍,找到5000多萬個手機號,并寫“攻擊”程序,還找了300多個代理IP寫入程序
2
利用網絡遠程控制技術及自編軟件,在北京市小客車指標調控管理信息系統網站上,模擬“忘記密碼”的申請人,在“找回密碼”項目中填寫手機號
3
如果手機號是在網站上注冊過的搖號申請人,該號碼會自動保存,如果未注冊過,則看到“手機號碼未注冊”字樣。共獲取92萬余個可用號碼
4
在獲取的92萬余條手機號碼中,向其中的7000多個號碼群發短信,推廣其研發的“小兵掛號”軟件
■ 事件回顧
2012年12月23日凌晨3時許至中午,許多購車搖號的市民手機上收到了落款“小客車指標辦”發送的6位“短信驗證碼”,一些市民誤以為中簽了,還有市民認為信息被泄露。隨后,小客車指標辦在網站發布信息稱,發送驗證碼是系統一項服務功能,對搖號申請人沒有影響。之后,又發布“二度聲明”稱,是系統被惡意騷擾,并強調申請人信息沒有泄露。
■ 說法
用戶信息被利用 網站有責任
DCCI互聯網研究院院長劉興亮介紹,張利斌的攻擊是模擬用戶的行為,對于系統來說,就好像一個用戶在使用“找回密碼”功能,如果網站對這方面防范不強,批量竊取信息很容易實現。
他舉例說,就如同設置郵箱密碼的“安全級別”一樣,如果用一串數字做密碼,用軟件從1到10不停比對,利用計算公式可以幾秒內演算出來,而數字和字母的組合則需要一兩年,加上符號可能需要十幾年才能演算出來。此前搖號網站只需要輸入一串手機號,防范級別不高,容易被攻破。
劉興亮認為,對于搖號網站這種涉及公眾身份信息的網站,更應該增加防范級別。因防范不慎被犯罪分子利用,網站的維護者是有責任的。因此,希望掌握隱私信息的網站一定要做好安全防范,增強責任心。
■ 體驗
網站已升級 需加輸證件號
昨日,記者進入小客車指標調控管理信息系統,點擊“找回密碼”功能,需要填寫“證件號碼”、“手機號”、“圖片驗證碼”之后,才能“點擊獲取短信驗證碼”。填寫完畢,1分鐘內,記者輸入的手機號便收到“小客車指標辦”的6位驗證密碼。
據介紹,這是在2012年12月23日,該網站被攻擊后,交通委加強了系統安全防護功能。
記者獲悉,搖號網站的短信驗證碼發送功能需要向中國移動支付每條0.05元的費用,正常每日發送量為4000余條,費用是交通委承擔,但此次張利斌的惡意攻擊,使向用戶發送信息量大量增加,造成不必要損失達4.7萬元。(記者 劉洋)
相關新聞
更多>>
