小伙利用某寶技術(shù)漏洞斂財1300萬

《瞭望-LW》

看你所看不到

文/瞭望-LW

引言

相信大家對于“技術(shù)黑客”這個詞已經(jīng)不再新鮮，但在互聯(lián)網(wǎng)迅速發(fā)展的這些年，大家對“技術(shù)黑客”所從事的活動卻十分陌生。除了很多技術(shù)大牛是為了純粹的技術(shù)愛好而從事黑客活動外，也有很多人是為了純粹的利益。從某些軟件或系統(tǒng)上發(fā)掘技術(shù)漏洞，并利用這些漏洞賺取了豐厚的意外之財，正是這些利益的驅(qū)使，令某些人執(zhí)著于追求技術(shù)，從事黑客活動。

01-“某寶”技術(shù)漏洞

河南一名胡姓男子被檢方告上法庭，他被控告利用淘寶技術(shù)漏洞，半年從中獲利1300萬。

黑客利用技術(shù)漏洞牟利

很多人認為胡某是一名技術(shù)黑客，其實不然。事發(fā)后，人們才發(fā)現(xiàn)胡某才不過是一個20歲出頭的小伙，學歷才初中不到。

他這次收獲的意外之財，不是因為他的技術(shù)能力有多牛，而是因為淘寶網(wǎng)的一個"低級漏洞"。

胡某在一次購買淘寶網(wǎng)推出的優(yōu)酷會員禮包促銷活動時，發(fā)現(xiàn)自己余額不足支付失敗時，返回支付寶賬戶竟然意外發(fā)現(xiàn)多了120元。

遂后，胡某利用該系統(tǒng)的這一故障，惡意制造賬戶余額不足的條件，竊取了淘寶網(wǎng)10余萬筆，共計1300余萬元的錢款。而在他成為”千萬富翁“前，他只是在淘寶開了一家店鋪，從事軟件銷售。

在胡某被帶上法庭時，大家普遍認為他是一名技術(shù)高手，而事實恰恰相反。當戴著眼鏡，個子瘦小的胡某出現(xiàn)在大家面前時，大家才覺得不可思議。他才20歲出頭，滿臉稚氣，在庭審中他當庭表示認罪。

胡某打賞YY視頻主播

據(jù)悉，獲利后的胡某慈心大發(fā)，經(jīng)常在YY視頻網(wǎng)站上打賞女主播，其中最多的一次，給了女主播8萬元。當他被抓獲后，僅剩300多萬，其余已經(jīng)被胡某揮霍一空，其中大部分錢被他用作打賞YY視頻主播。

相對淘寶這一”低級錯誤“或”低級漏洞“，國外一些技術(shù)黑客似乎要更為專業(yè)，他們利用自己的技術(shù)優(yōu)勢，對大公司的系統(tǒng)或軟件進行侵擾，并從中獲利。

02-TJX銀行卡失竊事件

2008年的TJX銀行卡失竊事件是震驚海外的黑客盜竊事件。當年，美國服裝和家庭時尚低價零售商TJX的支付系統(tǒng)被黑客入侵，大約9400萬位客戶的銀行卡被盜。

TJX銀行卡失竊事件

當事件在當年被評為史上最惡劣的的黑客入侵事件，因為當時的美國才不過3億人口，接近1/3的人的銀行卡被盜，影響十分廣泛，民眾對TJX發(fā)生這樣的信息安全事件不滿，擔心自己的銀行卡信息已經(jīng)被泄露或兜售，給自己帶來經(jīng)濟的損失。

TJX銀行卡失竊事件影響惡劣

負責此案的FBI調(diào)查官員歷經(jīng)半年的調(diào)查，終于將犯罪嫌疑人特·岡薩雷斯抓拿歸案。但事實上，接下來的結(jié)果令大家都意外得大跌眼鏡。

犯罪嫌疑人特·岡薩雷斯

原來，特·岡薩雷斯被抓時還是美國特勤局員工，當時的他正以75000美元的薪水在特勤局工作。這樣的調(diào)查結(jié)果令美國特勤局蒙羞，但也不能令公眾的怒火平息。

特·岡薩雷斯唯一的動機是技術(shù)好奇心，他被診斷為患有亞斯伯格癥和電腦成癮。他對征服計算機網(wǎng)絡(luò)尤為癡迷，他單純的目標是”計劃賺1500萬美元，買一艘游艇，然后退休“。

但他的行動在檢方的一些列證據(jù)下，證實他的計劃是有預謀的。他在2005年至2008年在美國制造了一連串的信用卡盜竊事件，這些行為為他的個人賬戶帶來了1.7億美元的收入。

雖然這些收入已經(jīng)超出了他當初”1500萬美元便收手“的目標，但他已經(jīng)不能控制自己收手。他甚至利用自己的職位之便，在他的部分行動中使用SQL注入來竊取私人計算機網(wǎng)絡(luò)的用戶數(shù)據(jù)，并啟動欺騙攻擊，以獲取私利。

他這一行為最終令美國特勤局的形象和顏面掃地，為此，美國特勤局全局上下進行了一次嚴格的清理調(diào)查，意在與那些”精神有問題的雇員“撇清關(guān)系。

最終，特·岡薩雷斯被判監(jiān)禁20年。后來又因為盜取了1.3億張信用卡和借記卡資料被判處終生監(jiān)禁。至今，他依然活在美國監(jiān)獄中。他瘋狂固執(zhí)的行為最終付出了慘痛的代價。

03-世界頭號軍事黑客

2002年，弗吉尼亞邁爾堡陸軍炸開了鍋，涉及到該軍司令部的管理員特權(quán)、密碼、信息和指令被黑客盜取，大約1300個用戶帳戶刪除。

這一事件在當年十分敏感，因為鑒于當時并不穩(wěn)定的國際環(huán)境，美國不得不將懷疑的目光投向相互競爭的軍事國家。畢竟在當時，還沒有個人傻到敢于向美國陸軍叫板。

黑客麥金農(nóng)

經(jīng)過美國的層層調(diào)查，才將疑犯鎖定為6000公里外的英國男子：麥金農(nóng)。麥金農(nóng)于2002年被英國政府逮捕，他被控訴入侵美國軍方和美國國家航空航天局(NASA)的計算機網(wǎng)絡(luò)。

而在麥金農(nóng)被捕時，他不過是一位失業(yè)的電腦專家。他的行為被美國認為是美國有史以來最大規(guī)模的一起軍用電腦入侵事件”。

而事后，麥金農(nóng)對這一事件作出回應(yīng)。他認為，進入美國軍方的計算機網(wǎng)絡(luò)就像“進入花園那樣簡單”，“一些計算機甚至沒有設(shè)置開機密碼”。

這讓美國軍方惱羞成怒，據(jù)報道，美國國防部每年有300億美元的預算用域加強計算機網(wǎng)絡(luò)安全，以及對付黑客的攻擊。而在麥金農(nóng)看來，300億美元干的活卻是一項豆腐渣工程。

麥金農(nóng)認為自己不過是一名普通的電腦愛好者，他可以在很輕松的狀態(tài)下就進入了美國軍方的網(wǎng)絡(luò)。這讓美國軍方十分丟臉。

當年美國軍方發(fā)言人克魯來說：黑客們，別招惹美國政府和軍方的計算機網(wǎng)絡(luò)，否則沒有好果子吃。

美國希望拿麥金農(nóng)開刀，來一個殺雞儆猴！

但事實上，沒有任何證據(jù)證實麥金農(nóng)利用手上獲取的數(shù)據(jù)信息牟利，這僅僅是他的一些“個人偏好”。麥金農(nóng)辨稱他只是普通的電腦愛好者，之所以侵入美軍方電腦系統(tǒng)，只是尋找有關(guān)外星人和UFO的絕密信息。美國甚至無法就麥金農(nóng)的引渡問題達成一致。

麥金農(nóng)的“特殊偏好”

他甚至被嫌疑為，在“9·11”恐怖襲擊之后的“非常時期”，利用黑客技術(shù)使美國至關(guān)重要的國防系統(tǒng)在短時間內(nèi)陷入癱瘓。

麥金農(nóng)對此作出回應(yīng)：”美國的安全保衛(wèi)體系有漏洞，我將會繼續(xù)制造混亂！“據(jù)了解，在2001至2002年，麥金農(nóng)不少于97次成功地進入美國軍事和航空航天局網(wǎng)絡(luò)的系統(tǒng)。

他是第一個向美國軍方網(wǎng)絡(luò)發(fā)起攻擊的網(wǎng)絡(luò)黑客，他也因此成為“世界頭號軍事黑客”。

美國軍方一直在致力引渡他，并對他的行為飲恨至今。換做當時部分媒體的話，就是”美軍方恨不得將他下油鍋“。

04-國外黑客招安計劃

近年來，隨著互聯(lián)網(wǎng)的興起，以及全球計算技術(shù)的廣泛普及和推廣，讓更多的技術(shù)愛好者參與到了黑客行列。

這意味著，作為賴以技術(shù)發(fā)展的互聯(lián)網(wǎng)公司，更加的擔心自身漏洞被黑客捕獲，造成經(jīng)濟上的損失。

為此，各家互聯(lián)網(wǎng)公司為響應(yīng)這一危機，絞盡腦汁，推出了各種黑客”招安計劃“。

微軟公司

微軟公司宣布啟動了漏洞賞金計劃，以每天440萬美元的賞金，對每年從微軟系統(tǒng)發(fā)現(xiàn)的漏洞的白帽黑客進行獎勵，確保了數(shù)百萬客戶的信息安全。

谷歌Google

谷歌Google全年開放黑客獎金，他們可以隨時向谷歌提出漏洞以及漏洞修復建議，他們會根據(jù)漏洞的嚴重程度，對提出此漏洞的黑客進行數(shù)額不同的獎勵，最高可獲150萬美元的獎勵。

谷歌還經(jīng)常舉辦活動邀請黑客攻擊自己的產(chǎn)品，并給予獎金，讓黑客可以繼續(xù)為 它尋找漏洞。

Facebook

Facebook推出漏洞獎勵忠誠計劃 Hacker Plus。Facebook 公司表示它計劃根據(jù)每年研究員提交的漏洞報告總數(shù)量、分數(shù)，將根據(jù)分值對白帽黑客進行不同級別的獎勵。

Steam平臺

作為目前世界上最大的游戲平臺，Steam平臺的創(chuàng)辦公司V社在近日公布了獎勵計劃，發(fā)現(xiàn)平臺中漏洞的網(wǎng)友將會根據(jù)系統(tǒng)問題的嚴重性來換取數(shù)額不等的獎金。

05-國內(nèi)黑客招安計劃

相對于國外的“黑客招安計劃”，國內(nèi)的互聯(lián)網(wǎng)公司也紛紛效仿。他們紛紛自建各自的漏洞平臺，對漏洞報告者作出獎勵。

騰訊安全應(yīng)急響應(yīng)中心

騰訊安全應(yīng)急響應(yīng)中心（TSRC），自建在線漏洞報告平臺，目前發(fā)出的單個漏洞最高獎勵金額是12萬元。除對漏洞獎勵大手筆外，TSRC還定期地在全國各地舉辦安全沙龍與技術(shù)分享，促進安全從業(yè)者間的交流和技術(shù)進步。

網(wǎng)易安全中心（NSC），國內(nèi)出現(xiàn)的第二個廠在線漏洞報告平臺。從2014年開始，網(wǎng)易也開始增設(shè)現(xiàn)金獎勵計劃，并且在逐步提高獎勵額度，進一步“招安”白帽黑客。

百度安全響應(yīng)中心（BSRC），BSRC成立于2013年6月，除漏洞獎勵外，他們還舉辦過各種挑戰(zhàn)賽，線下安全沙龍等活動，也專門針對百度移動產(chǎn)品舉辦過現(xiàn)金獎勵計劃。

阿里巴巴安全應(yīng)急響應(yīng)中心

阿里巴巴安全應(yīng)急響應(yīng)中心（ASRC），相比騰訊、網(wǎng)易和百度，阿里在安全上應(yīng)該是最為大方的廠商。 ASRC成立于2013年10月，也是SRC平臺中的大土豪之一，單個漏洞的最高獎勵為10萬元。ASRC也定期在各地開辦“雷鋒互聯(lián)網(wǎng)安全沙龍”。

而作為國內(nèi)云業(yè)務(wù)頭把交椅的阿里云，更是通過各路的招兵買馬，匯集全球各路網(wǎng)絡(luò)安全好手，意在收攏和招安全國各地的黑客高手，為其服務(wù)，它是在互聯(lián)網(wǎng)企業(yè)中針對網(wǎng)絡(luò)安全最為舍得下重本的公司之一。

06-結(jié)束語

21世紀的安全是信息技術(shù)的安全，大部分人的行為都通過互聯(lián)網(wǎng)關(guān)聯(lián)，很多人的利益都與網(wǎng)絡(luò)互通。

21世紀的安全是信息技術(shù)的安全

而在我國，一個手機走天下已經(jīng)不是什么新鮮的事兒。微信、支付寶等網(wǎng)絡(luò)聊天、支付工具盛行，把人們帶進了全網(wǎng)信息時代。

在這樣的環(huán)境下，現(xiàn)在的人幾乎是全透明的，人們的個人隱私和信息安全是否得到有效的保障呢？

在這樣的一個信息大數(shù)據(jù)的通信時代，一些互聯(lián)網(wǎng)公司對用戶的個人信息的安全保護變得十分重要。

用戶個人隱私和數(shù)據(jù)安全是十分重要的

這次淘寶的“低級漏洞”只是一個無意的發(fā)現(xiàn)。在今天一個黑客盛行的年代，如果不注重保護用戶個人隱私和數(shù)據(jù)的公司，它的道路注定不是長久的。

很多人都相信自己的信息數(shù)據(jù)是安全的時候，黑暗中其實有著很多黑客的雙手，他們試圖攻擊安全網(wǎng)的每一道防衛(wèi)線，對關(guān)系公司或機構(gòu)作出致命的攻擊。

黑客們的力量通常是無形的，而大公司們這么多年來實行的“黑客招安計劃”開始奏效了嗎？

《瞭望-LW》

《瞭望-LW》—— 看你所看不到！

關(guān)注我，分享更多環(huán)球你所不知道的事物！