网络犯罪案例分析-漏洞提交(二十)
2021-05-28 23:19:19 Author: www.freebuf.com(查看原文) 阅读量:102 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

关键词

(1)侵犯公民个人信息罪

(2)漏洞提交

基本案情

2018年6月份,被告人王x在排查金华二中办公网站打不开的问题时发现是赵x(另案处理)所为,之后金华二中老师金某告知王x,赵x可能扒取了浙江中小学生学籍网学籍信息,为了确认该情况,其通过QQ联系赵x,并向赵x索要了学籍数据,赵x向其传送了100万条的学籍信息。为了向学籍信息管理系统举报漏洞,2018年7月上旬,王x利用金华二中微信公众号管理员的权限获得可以登录浙江中小学生学籍信息管理系统的账号密码,后利用该网站的漏洞用自己编写的代码扒取学籍信息1035.0136万条。7月中下旬,被告人周xx得知王x获取了学籍信息,为了完善自己的数据库向王x索要,王x将1035.0136万条学籍信息放置在服务器上供周xx下载使用。

诉讼过程和结果

被告人王x、周xx违反国家有关规定,非法获取公民个人信息,情节特别严重,其行为均已构成侵犯公民个人信息罪。公诉机关的指控成立,本院予以支持。被告人王x、周xx均有坦白情节,认罪、悔罪,予以从轻处罚。根据被告人犯罪情节,不采纳辩护人所提适用缓刑的辩护意见。依照《中华人民共和国刑法》第二百五十三条之一、第六十七条第三款、第五十二条、第五十三条之规定,判决如下:

一、被告人王x侵犯公民个人信息罪,判处有期徒刑四年,并处罚金人民币五万元。罚金限于判决生效后十日内缴纳。

二、被告人周xx侵犯公民个人信息罪,判处有期徒刑三年九个月,并处罚金人民币四万元。罚金限于判决生效后十日内缴纳。

案情分析

三名犯罪嫌疑人的案情清晰,属于情节特别严重,处三年以上七年以下有期徒刑,并处罚金。重点说一下王x,王x利用网站的漏洞用自己编写的代码扒取学籍信息1035.0136万条,据自己交代是为了向学籍信息管理系统举报漏洞,但站在一个正常人角度来看,爬取数据1000余万条,仅仅只是为了向有关平台提交漏洞,理由太牵强,远远超出应有的限度,或者换一句话是,“打着白帽子的幌子,却做着黑帽子的事情”

本案相关法律规定

《中华人民共和国刑法》

第二百五十三条之一 【侵犯公民个人信息罪】

(第一款)违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。

(第二款)违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。

(第三款)窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。

《最高人民法院 最高人民检察院关于办_理侵犯公民个人信息刑事案件适用法律若干问题的解释》

第一条
刑法第二百五十三条之一规定的“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份_证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等

第五条
非法获取、出售或者提供公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的“情节严重”:
(一)出售或者提供行踪轨迹信息,被他人用于犯罪的;
(二)知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的;
(三)非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;
(四)非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;
(五)非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的;

(六)数量未达到第三项至第五项规定标准,但是按相应比例合计达到有关数量标准的;
(七)违法所得五千元以上的;
(八)将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到第三项至第七项规定标准一半以上的;
(九)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的;
(十)其他情节严重的情形。

实施前款规定的行为,具有下列情形之一的,应当认定为刑法第二百五十三条之一第一款规定的“情节特别严重”:
(一)造成被害人死亡、重伤、精神失常或者被绑架等严重后果的;
(二)造成重大经济损失或者恶劣社会影响的;
(三)数量或者数额达到前款第三项至第八项规定标准十倍以上的;
(四)其他情节特别严重的情形。


文章来源: https://www.freebuf.com/articles/security-management/275419.html
如有侵权请联系:admin#unsafe.sh