近日,上海市黃浦區人民法院(以下簡稱黃浦區人民法院)審結了一起利用黑客技術非法獲取某社交平台賬號出售牟利的刑事案件。
案情回顧
小王剛滿18周歲,是某大學大數據專業大一學生,自小喜歡計算機技術,初中時便自學e語言、c語言、python、java等編程,混跡於各個論壇進行技術分享和交流,也掌握了包括「撞庫」「爬蟲」等黑客技術。
2023年12月,小王發現某社交平台伺服器與微博伺服器的跳轉登錄核驗機制存在漏洞,未對通訊數據進行全面核驗和加密,故產生了用黑客技術鑽空子獲取該平台賬號信息並出售牟利的想法。
2023年12月至2024年1月間,小王利用上述漏洞,運用自己掌握的計算機通信技術手段,獲取了相關賬號的操作許可權,後又利用該社交平台首次設置用戶密碼無需驗證機制,自行編寫了若干腳本文件登陸該社交平台伺服器,批量向該社交平台伺服器發起密碼設置申請。
經司法鑒定,小王在該平台非法獲取了上述賬號的實際控制權,這其中包括個別明星的社交平台賬號。期間,小王通過搭建專門的發卡網站用於出售上述賬號(包含賬戶名及登錄密碼),並從中非法獲利7.6萬餘元。
2024年3月,小王被公安民警傳喚到案,其到案後如實供述了上述犯罪事實。小王在審理過程中認罪認罰,在家屬幫助下退出全部違法所得並預繳罰金三萬元。
人民法院裁判
黃浦區人民法院經審理認為,被告人小王違反國家規定,採取技術手段,非法獲取具有身份認證功能的計算機信息系統數據,情節特別嚴重,其行為已構成非法獲取計算機信息系統數據罪,依法應予刑事處罰。
考慮到被告人小王到案後能如實供述自己的罪行,依法可以從輕處罰。小王能自願認罪認罰、退出違法所得並預繳罰金,依法可以酌情進行從輕處罰、從寬處理。根據被告人小王的犯罪事實、情節及認罪、悔罪表現等,可以適用緩刑。
最終黃浦區人民法院以非法獲取計算機信息系統數據罪判處小王有期徒刑三年,緩刑三年,並處罰金人民幣三萬元;退繳在案的違法所得連同扣押在案的犯罪工具,予以沒收。
一審判決後,公訴機關未抗訴,被告人小王未上訴,案件現已生效。
法官說法
在「全民觸網」的當下,各類社交平台蓬勃發展,成為人們對外社交的重要一環。網路社交賬號特別是經過實名認證的賬號,具有一定的財產屬性和人身依託性。
針對公民社交賬號實施的非法獲取、倒賣等一系列違法犯罪活動,不僅干擾了平台運營商的正常經營秩序,破壞了社交平台網路空間社區的健康生態,而且這些被非法倒賣的賬號會成為網路黑灰產團伙進行網路引流的工具,從而催生電信詐騙、網路賭博等一系列下游犯罪。
一、利用黑客技術非法獲取大量社交賬號可能涉刑
《中華人民共和國刑法》第二百八十五條第二款將違反國家規定,侵入(特定)計算機信息系統或者採用其他技術手段,獲取該計算機信息系統中存儲、處理或者傳輸的數據且情節嚴重的行為認定為非法獲取計算機信息系統數據罪。這裡的「獲取」包括從他人計算機信息系統中竊取,如直接侵入他人計算機信息系統,秘密複製他人存儲的信息;也包括騙取,如設立釣魚網站,在用戶登錄時,騙取用戶輸入賬號、密碼等信息。
本案中,被告人小王違反國家規定,利用機制漏洞,通過攔截、修改數據包成功盜竊並控制了某社交平台上的大量賬號,系以非法手段獲取了具有身份認證功能的計算機信息系統數據,而後出售賬號數據獲利7.6萬餘元,屬情節特別嚴重,故小王上述行為已構成非法獲取計算機信息系統數據罪。
二、強化網路安全意識,維護清朗「衝浪」環境
本案中,小王是大學本科生,本應有大好前程,卻因一時貪慾將技術本領用於違法犯罪,最終承擔了嚴重的法律後果。廣大計算機愛好者要引以為戒,自覺履行數據安全保護義務,切莫為「逞能炫技」或「侵財逐利」踏入違法犯罪的深淵。
作為近年來司法實踐中新出現的犯罪行為,非法獲取計算機信息系統數據犯罪具有科技含量高、隱蔽性強、形式多樣化等特點,因此保護網路數據安全、維護清朗「衝浪」環境需要網路服務者和公民個人共同努力。
互聯網企業應當做好平台數據安全的「監督者」和「守衛者」,高度重視數據安全和個人信息保護,在技術層面上加強密碼安全性校驗,定期更新漏洞補丁,進行實時行為分析和異常檢測,並完善賬號發生盜用後的申訴、補救、校驗、恢復機制。
公民個人應加強網路安全意識,對個人信息數據泄露保持警惕,平時不隨意點擊來源不明的鏈接或下載未知的軟體,並定期更新自己的操作系統和應用程序。為加強對個人隱私的保護,公民在設置賬號密碼時可以採取增強密碼的複雜程度、不同平台設置不同密碼、減少不同程序之間的賬號關聯、多因素身份驗證等方式以提高賬戶的安全性。
法條鏈接
一、《中華人民共和國刑法》
第二百八十五條 ……
違反國家規定,侵入前款規定以外的計算機信息系統或者採用其他技術手段,獲取該計算機信息系統中存儲、處理或者傳輸的數據,或者對該計算機信息系統實施非法控制,情節嚴重的,處三年以下有期徒刑或者拘役,並處或者單處罰金;情節特別嚴重的,處三年以上七年以下有期徒刑,並處罰金。
……
二、《最高人民法院、最高人民檢察院關於辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》
第一條 非法獲取計算機信息系統數據或者非法控制計算機信息系統,具有下列情形之一的,應當認定為刑法第二百八十五條第二款規定的「情節嚴重」:
(一)獲取支付結算、證券交易、期貨交易等網路金融服務的身份認證信息十組以上的;
(二)獲取第(一)項以外的身份認證信息五百組以上的;
(三)非法控制計算機信息系統二十台以上的;
(四)違法所得五千元以上或者造成經濟損失一萬元以上的;
(五)其他情節嚴重的情形。
實施前款規定行為,具有下列情形之一的,應當認定為刑法第二百八十五條第二款規定的「情節特別嚴重」:
(一)數量或者數額達到前款第(一)項至第(四)項規定標準五倍以上的;
(二)其他情節特別嚴重的情形。
明知是他人非法控制的計算機信息系統,而對該計算機信息系統的控制權加以利用的,依照前兩款的規定定罪處罰。
【來源:上海市黃浦區人民法院】
聲明:此文版權歸原作者所有,若有來源錯誤或者侵犯您的合法權益,您可通過郵箱與我們取得聯繫,我們將及時進行處理。郵箱地址:[email protected]