位于鸟巢附近的京东商城北京总部。虽然安全漏洞事件对京东的声誉造成了一定的影响,但似乎并未影响到京东商城的业务。
2011年底,中国互联网迎来最大一次信息泄密事件,1亿多条用户个人信息被“黑客”获取,它们附带的价值超过百亿元。
在这样的大浪潮中,陕西咸阳一名互联网技术人员发现了京东商城的一个安全漏洞,并索要240万元劳务费,后被警方控制。
在充满机会的互联网上,却也在诞生着罪恶,但至今没有一则立法能规范企业的责任和保护个人的安全,那么,互联网安全应如何去维护呢?
当贾伟(化名)离开看守所的时候,他不确定自己到底身犯何罪。
2011年12月30日,贾伟在陕西咸阳一家制药厂被警方带走,他的老父亲颤颤巍巍地在北京朝阳警方的拘留证上签了字,然后失眠了整整一个月。
这起事件与中国电子商务(B2C)龙头老大之一的京东商城有关,源自2011年年末的一次互联网用户信息大泄密事件,当时天涯社区、技术开发网站CSDN、垂直游戏门户多玩网、婚嫁交友网站珍爱网等多家网站用户资料被泄露,因涉及人数过亿,被业内人士称之为“脱裤门”(指网站用户账号密码等被泄露,个人信息“裸奔”),而京东商城也没有幸免。
漏洞的发现者正是贾伟,一个常年混迹于互联网江湖的咸阳籍技术高手,他以此为价码要求京东商城支付240万元,作为给京东商城修复漏洞的劳务费。
12月28日,京东商城以网络被入侵并被“敲诈勒索”为由,向北京朝阳区公安局报警,警方决定拘留犯罪嫌疑人贾伟。他也成为这起大泄密事件中唯一被追责的陕西“黑客”。
一个被“价值”240万元的技术漏洞
现年35岁的贾伟是陕西咸阳人,早前曾“北漂”多年,在互联网业界小有名气,常用网名叫“我心飞翔”。
2011年4月,贾伟在京东商城网上购物时,无意间发现了京东商城的“后门”(技术漏洞),经验证他发现,此漏洞可获取京东商城所有客户账号和密码及个人信息,随即,贾伟将这一漏洞反馈给京东商城技术人员。京东商城一位技术人员“鱼蛋”随即主动联系贾询问漏洞,并表示将在第一时间内修复。
贾伟称,这一漏洞京东商城并未完全修复。由于自己长期在京东商城购物,也帮助公司和朋友在京东购物,作为“大客户”,出于自身安全考虑,在此后8个月,贾伟每天登录京东商城两次,查看漏洞是否被彻底修复,然而京东商城一直未做实质性的改变。
去年12月26日,贾伟与京东商城技术人员再次QQ联系,并告知还存在泄密漏洞,而京东技术人员彻查仍未发现,贾伟遂提出自己可以帮忙修复漏洞,但需要对方支付技术支持费用。该技术人员表示,可以聘请贾为商城高级技术顾问。贾伟则提出按4月到12月31日区间计算,每天要1万元薪酬,但被京东技术人员以“太高了,需要请示”为由婉拒。12月27日,贾伟遂把自己发现的漏洞发布在了中立的安全问题反馈及发布平台乌云网(除事主外,其他用户只能看到该漏洞造成的危害,并不能直接看见是何漏洞),由于京东商城是电子商务网站,不仅涉及到用户的个人资料,并且牵扯到巨大的资金运转。
一石激起千层浪,京东的这次泄密事件被北京卫视、东方卫视、《财经》杂志、新京报等多家媒体报道,迫于压力,当日下午,京东商城主管技术的副总裁李大学直接通过网络联系贾伟,商谈善后事宜。
在贾伟和李大学几度交锋后,京东商城验证了自己存在的漏洞,并在乌云网上以官方身份进行了漏洞确认。
但尽管如此,京东商城内部技术人员还是无法确认具体的漏洞所在。最终,贾伟表示只要聘请自己为高级技术顾问,并支付上述合计约240万元劳务费,自己将为京东商城修复该漏洞。
也就是这一举动,贾被京东商城视为在赤裸裸地敲诈勒索,并因为用户信息库面临被“窃取”威胁,京东商城选择了报警。12月30日,贾伟被咸阳警方控制,随后被移交北京警方。
是敲诈勒索还是一个玩笑?
面对警方,贾伟很诧异:这只是一个玩笑而已,难道真的犯法了吗?
事发后,贾妻张梅(化名)积极奔走,穿梭于北京和西安两地。张告诉华商报记者:“我老公当时只是觉得京东商城太不顾用户权益了,很生气,所以才开了这么个玩笑。要是真图钱,早把京东商城的用户信息卖了,不会坐下来跟京东谈。”
而根据贾伟和李大学的聊天记录,贾确实暗示李大学,曾有人想从自己手里购买京东的数据,但他以“不做违法的事”为由,拒绝了买家。
“他说是说,但并没有把银行卡号告知京东人员,根本就没有交易,怎么能算是敲诈勒索呢?”张梅问。
2012年1月4日前后,张梅和家人前往京东商城位于北京鸟巢附近的总部,要求面见李大学或更高层负责人和解此事,让警方放人。但在等待30分钟后,等来的却是两名朝阳分局的公安人员。“答应了要见我们,然后却自己报警,说我们扰乱他们正常营业,可我们什么都没做啊,这样的企业诚信何在?”张梅说。
在张梅看来,京东商城负责人和贾伟的聊天充满着“诱导”,如聘请贾为京东商城高级技术顾问,这是京东首先提出来的;而2011年12月28日报警后,李大学和贾伟还在沟通费用问题,并索要银行账号密码,张梅不能理解为什么。