张梅告诉华商报记者,在贾伟被警方带走后,她曾在多地咨询法官、律师,不少人认为,贾伟的被抓与京东商城工作人员的“钓鱼式”诱导有关。
2012年2月7日下午,华商报记者前往北京朝阳区京东商城总部进行求证,京东商城相关工作人员婉拒采访,并称“京东商城将尊重司法机关的调查结果,在司法部门还没有最后定论之前,不便做任何回应”。
该工作人员认为,京东泄密事件,京东商城才是最大的受害者。被媒体披露出安全漏洞后,已经给京东的信誉造成了不可挽回的损失。
以技术漏洞为由索“劳务费”涉嫌犯罪
2月7日下午,华商报记者赶赴北京市公安局了解情况,北京市公安局以“未对外发布案件不能接受采访”为由,婉拒了记者的询问。记者辗转联系到了当地一位法官,这位不愿透露姓名的法官从法学角度分析认为:“劳务报酬应该是在双方自愿的前提下达成的,而此案中,当事人贾某的行为存在着明显的不良动机,并暗示京东商城有人来购买他们的数据信息,有胁迫嫌疑。从法学角度,本案只是当事人责任大还是小的问题,并不是完全没有责任。”中国政法大学法学副教授、著名网络名人吴丹红在接受记者采访时也认为,贾伟的行为已构成了“敲诈勒索”,不属于正常的索要报酬,一天一万早已超出正常劳动报酬范围;使用的手段是暗示,试图让对方就范,但属于未遂。吴丹红说,敲诈勒索罪是指以非法占有为目的,对被害人使用威胁或要挟的方法,强行索要公私财物的行为。威胁,是指以恶的后果通告给被害人,迫使被害人处分财产,即如果不按照行为人的要求处分财产,就会在将来的某个时间遭受恶害。威胁内容的种类没有限制,包括对被害人及其亲属的生命、身体自由、名誉等进行威胁,威胁行为只要足以使他人产生恐惧心理即可,不要求现实上使被害人产生了恐惧心理。本案中,贾明确知道如果数据泄露将带给京东商城的危害,但他仍暗示了对方泄密可能性的存在,包括数据库被购买诸如此类的泄密,让对方产生心理恐惧,然后两害相权取其轻,进而让京东满足自己240万元劳务费的要求。“敲诈勒索的行为只有数额较大时,才构成犯罪。但是240万元的话,明显已经涉嫌犯罪,但好在犯罪未遂,情节上也比较轻微。”吴丹红说。那么京东商城在本案中有无责任呢?吴丹红说,京东商城在本案中没有明显责任,它的责任是针对消费者而言的。如果用户信息泄露,那么必须向消费者负责。
这起案子给了中国“黑客”们一个法律上的警示,而“黑客”们的攻击或盗取信息往往有千奇百怪的理由。贾伟还算理智,没有给京东商城造成数据泄露的实质伤害,但网上的其他“黑客”显然不这样认为。
中国“黑客”产业链价值上百亿
在2011年底的那场有史以来中国互联网最大的泄密事件中,全国同时被抓的有四个人,贾伟只是其中之一。但贾伟的特殊性在于,他只是发现了漏洞,并没有通过黑客手段盗取信息或攻击该网站,牟取非法收益。
根据国家互联网应急中心(CNCERT)统计,截至2011年12月29日,CNCERT通过公开渠道获得疑似泄露的数据库26个,涉及账号、密码2.78亿条。其中,具有与网站、论坛相关联信息的数据库有12个,涉及数据1.36亿条;无法判断网站、论坛关联性的数据库有14个,涉及数据1.42亿条。
2012年1月10日,国家互联网信息办通报了一批互联网信息泄密事件,查处入侵、窃取、倒卖数据案件9起,编造并炒作信息泄露案件3起,刑事拘留4人,治安处罚8人。
这些案例的共性为:编造或炒作网站用户信息被大规模泄露消息,既有出于个人炫耀或骗取钱财 的目的,也有一些网络安全公司想以此提高知名度、推销产品,甚至有人纯粹是捣乱,以借机干扰微博实名注册工作。
实际上,2011年网络数据大规模泄密并非偶然。拿最早被爆出用户数据泄密的CSDN网来说,该网站有100台服务器,却只有3名维护运营人员。
现实中,国内网站竞争激烈,很多企业都把大部分精力放在发展业务上,在安全防护上投入很少或无力投入。天融信高级安全顾问吕延辉认为,在缺乏整体防护措施或安全意识淡薄的情况下,泄密事件的发生只是“时间问题”。
没有一种技术或产品能够解决所有安全问题,在有限投入情况下,安全的防护水平必然也是有限的,安全风险或隐患的存在也成为了一种必然。
而在10年前,中国互联网刚刚兴起时,“黑客”还十分神秘,但如今,但凡有些互联网知识的人,都可利用各种工具轻而易举地成为“黑客”的一员。
因此,中国实际上已成为世界最大的“黑客”交易市场之一。据媒体报道,不同“黑客”组织实际掌握的用户数据库规模应该远大于1亿条,目前中国“黑客”的黑色产业链规模价值已达上百亿元。
“你的数据是怎么保存的,谁能获得它?”
“中国80%的网站都存在漏洞。”CSDN网(全球最大的中文IT社区)总经理蒋涛对华商报记者说。实际上,这一数据还只是蒋涛的保守估计。事实上,国内互联网在安全方面一直较为忽视。2005年,CSDN与国外一家公司谈投资合作,对方的第一个问题就让蒋涛始料不及,“你的数据是怎么保存的,谁能获得它?”
实际上,此前CSDN的网站密码采取的都是明文存储的密码,非常容易被破译。如在2011年的微博上,就有很多网友破译出一些网站的明文存储密码,多为朗朗上口的唐诗,如:“飞流直下三千尺”、“床前明月光”等。
CSDN 在用户数据泄露后,坦承并马上修补了网站本身存在的漏洞,但一些存在漏洞未被曝光的网站似乎至今缺乏警惕性。
而几乎与互联网伴生的网络“黑客”们,部分不良分子的主要工作就是寻找这些漏洞实施攻击,或为名炫耀技术,或为利盗卖数据。互联网的隐身性几乎为他们提供了天然隐蔽。这些人大多都有自己的工作,白天是白领,甚至职业和IT毫无关系,但是晚上一转身就是“黑客”。他们在网上没有上级,大多数行为都是个人行为,但是这样零散的个人行为带给各个网站的却可能是灭顶之灾。
“所以,我们目前需要一个平台,有人发现了问题,可以去和各大网站沟通。避免再有‘我心飞翔’(贾伟)这样的事件发生。”游侠安全网创始人张百川表示。他说,目前虽然国家有一个网络漏洞库,但因为官方平台较为刻板,很难吸引圈内人士关注。
2012年1月4日,张百川在其网站上发布了新浪微博的漏洞:新浪iask站点存在SQL注入漏洞,利用该漏洞可以读取iask数据库内容,并利用该漏洞成功登录了魔术师刘谦的微博进行验证。
该帖子称,该漏洞涉及到包括明文密码在内的7000多万新浪用户信息。新浪iask官方微博对此回应,在发现该漏洞后已立即进行紧急修复,受影响的账号在30万左右。
在互联网信息大泄露事件中,张百川此举无疑是个人维护网络信息安全的一个正面典型。
有小网站甚至每月给“黑客”交“保护费”
“新浪和‘黑客’在沟通上就非常好,回应很积极。逢年过节,新浪还会寄给这些圈内朋友一些小礼物表示感谢,这样下次谁发现了新浪的漏洞,肯定是第一时间通知新浪,挽回新浪的损失。而像京东商城这次的事件,虽然贾伟有错在先,但是支付一定劳务费也可以说得过去。京东商城报警抓人,圈里人认为有点欠厚道,毕竟谁也不能保证自己永远没有漏洞,有事好商量嘛。”张百川说。
实际上从2011年8月起,工业和信息化部通信保障局就启动了增值电信业务和互联网域名服务安全防护试点工作。试点以信息服务(含门户、搜索、微博、即时通讯、电子商务、移动信息服务等)、数据中心、域名解析服务等业务类型为重点,选取了百度、腾讯、新浪、淘宝、万网、空中网六家有代表性的企业参加。
试点的作用在于,在国家指导试点企业做好安全自查的基础上,组织专业力量对试点企业的网络安全防护、防护效果和隐患风险进行评估,要求对应级别的网站必须有对应的安全措施。
对此张百川个人认为难度太大,操作性不强。主要原因是:大多数互联网公司财力和人力都很短缺,发展业务挣钱仍是第一要务,而试点能进行到哪一步,目前还是未知数。
现实世界中,一些公司存在侥幸心理,认为漏洞没被“黑客”发现就不存在,即使被发现了也死不承认,私下修补以免影响声誉。一些大互联网企业则“招安”黑客,将之纳入麾下,有的小网站甚至每月给“黑客”上交1万元到2万元的“保护费”。
而吴丹红认为,目前虽然针对互联网安全的立法很多,但法律规定分散交叉、立法层级不高,缺乏一部专门的综合性信息安全法来规范网络行为,明确用户、企业等相关方面的责任义务。
因此,防止网络信息泄露还得靠行业自律,行业应该自发组织起一个网站和公民个人沟通的安全平台,大家一起维护网络安全免遭恶意侵害。
2月初,失去自由一个多月的贾伟终于被取保获释,暂时未被追究进一步责任。这起因安全漏洞而起的“敲诈事件”暂时平息。对双方来说,这是一个不算太坏的结局。