网络犯罪案例分析-漏洞平台提交漏洞(十六)
2021-05-06 12:01:08 Author: www.freebuf.com(查看原文) 阅读量:107 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

关键词

(1)非法侵入计算机信息系统罪

(2)漏洞平台

基本案情

被告人胡xx,男,1988年10月30日出生,汉族,大学本科文化,户籍所在地湖南省岳阳市平江县,住广西壮族自治区南宁市青秀区,2018年7月21日因涉嫌非法侵入计算机信息系统罪被丰宁满族自治县公安局刑事拘留,临时羁押于广西壮族自治区宜州市看守所,7月26日羁押于丰宁满族自治县看守所;2018年8月30日经丰宁满族自治县人民检察院批准,被丰宁满族自治县公安局执行逮捕,2019年4月4日被丰宁满族自治县人民法院取保候审。

2014年12月10日,被告人胡xx以乌云网虚拟身份“路人甲”对花溪区政务服务中心(××)网站非法入侵后制作截图,在未经被侵入网站许可的情况下,将截图上传至乌云网主站“漏洞信息报告平台”进行曝光,经鉴定花溪区政务服务中心(××)网站属于国家事务类网站。
2014年11月10日,被告人胡xx以乌云网虚拟身份“路人甲”对印江县政务服务中心(××)网站非法入侵后制作截图,在未经被侵入网站许可的情况下,将截图上传至乌云网主站“漏洞信息报告平台”进行曝光,经鉴定印江县政务服务中心(××)网站属于国家事务类网站。
2014年11月28日,被告人胡xx以乌云网虚拟身份“路人甲”对椒江区人民检察院(××)网站非法入侵后制作截图,在未经被侵入网站许可的情况下,将截图上传至乌云网主站“漏洞信息报告平台”进行曝光,经鉴定椒江区人民检察院(××)网站属于国家事务类网站。
2014年12月12日,被告人胡xx以乌云网虚拟身份“路人甲”对思南县政务服务中心(××)网站非法入侵后制作截图,在未经被侵入网站许可的情况下,将截图上传至乌云网主站“漏洞信息报告平台”进行曝光,经鉴定思南县政务服务中心(××)网站属于国家事务类网站。
2014年5月18日,被告人胡xx以乌云网虚拟身份“路人甲”对青海省环保厅(××)网站非法入侵后制作截图,在未经被侵入网站许可的情况下,将截图上传至乌云网主站“漏洞信息报告平台”进行曝光,经鉴定青海省环保厅(××)网站属于国家事务类网站。
2014年12月5日,被告人胡xx以乌云网虚拟身份“路人甲”对仙居县纪检委(清廉仙居www.qlxj.gov.cn)网站非法入侵后制作截图,在未经被侵入网站许可的情况下,将截图上传至乌云网主站“漏洞信息报告平台”进行曝光,经鉴定仙居县纪检委(清廉仙居www.qlxj.gov.cn)网站属于国家事务类网站。

诉讼过程和结果

被告人胡xx违法国家规定,侵入国家事务领域的计算机信息系统,其行为构成非法侵入计算机信息系统罪,故对公诉机关指控予以支持;对被告人及其辩护人意见不予支持。本院根据被告人入侵网站的性质、数量、后果、目的、危害程度,依照罪刑相适应原则确定量刑。据此,依照《中华人民共和国刑法》第二百八十五条第一款、第六十一条之规定,判决如下:

被告人胡xx犯非法侵入计算机信息系统罪,判处有期徒刑一年二个月

案情分析

首先不否认“乌云”平台对国内网络安全行业的前期发展作出了极大的贡献,特别是对于我这种在13年入行的从业者来说,没有“乌云”当初诸多大佬的分享就不可能让我在网络安全行业坚持到现在。

事物都有其两面性,“乌云”平台成立的初衷让人敬佩,但平台问题在于大量的漏洞提交者没有一个合法的授权,没有合法授权的入侵那就是在犯罪,也因为这个问题,“乌云”平台运行的几年时间,有不少出于好意的“白帽子”被公安机关立案侦查。别人把你家门锁撬开了,再打电话告诉你,你家里的门锁不是很安全,建议你换一个门锁,你会怎么想

回到案例本身,我在判决书中发现当事人供述如下:

2016年我在南宁通过远程网络在一家“北京云间有道网络公司”上班,昵称“狗狗侠”,系因之前我在乌云网上发过几个帖子,是关于网站管理系统的安全漏洞的,后来就到这个公司工作,但是我是在家里,不是到公司上班,我负责漏洞审核工作验证帖子发布的漏洞是否存在,还参加过几次众测。在发布贴文过程中入侵过对方的网站,但我只是为了验证这个漏洞,想通过乌云网通知相关厂商进行修复,我并没有恶意

没有合法授权,侵入国家事务领域的计算机信息系统,其行为已经构成非法侵入计算机信息系统罪,仅仅一句”我没有恶意“,在犯罪事实面前显得苍白无力,希望广大安全从业者吸取教训。

本案相关法律规定

《中华人民共和国刑法》

第二百八十五条 

(第一款)【非法侵入计算机信息系统罪】违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。

(第二款)【非法获取计算机信息系统数据、非法控制计算机信息系统罪】违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。

(第三款)【提供侵入、非法控制计算机信息系统程序、工具罪】提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的,依照前款的规定处罚。

(第四款)单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。


文章来源: https://www.freebuf.com/articles/security-management/271914.html
如有侵权请联系:admin#unsafe.sh