小伙利用某寶技術(shù)漏洞斂財1300萬

《瞭望-LW》

看你所看不到

文/瞭望-LW

引言

相信大家對于“技術(shù)黑客”這個詞已經(jīng)不再新鮮，但在互聯(lián)網(wǎng)迅速發(fā)展的這些年，大家對“技術(shù)黑客”所從事的活動卻十分陌生。除了很多技術(shù)大牛是為了純粹的技術(shù)愛好而從事黑客活動外，也有很多人是為了純粹的利益。從某些軟件或系統(tǒng)上發(fā)掘技術(shù)漏洞，并利用這些漏洞賺取了豐厚的意外之財，正是這些利益的驅(qū)使，令某些人執(zhí)著于追求技術(shù)，從事黑客活動。

01-“某寶”技術(shù)漏洞

河南一名胡姓男子被檢方告上法庭，他被控告利用淘寶技術(shù)漏洞，半年從中獲利1300萬。

黑客利用技術(shù)漏洞牟利

很多人認(rèn)為胡某是一名技術(shù)黑客，其實不然。事發(fā)后，人們才發(fā)現(xiàn)胡某才不過是一個20歲出頭的小伙，學(xué)歷才初中不到。

他這次收獲的意外之財，不是因為他的技術(shù)能力有多牛，而是因為淘寶網(wǎng)的一個"低級漏洞"。

胡某在一次購買淘寶網(wǎng)推出的優(yōu)酷會員禮包促銷活動時，發(fā)現(xiàn)自己余額不足支付失敗時，返回支付寶賬戶竟然意外發(fā)現(xiàn)多了120元。

遂后，胡某利用該系統(tǒng)的這一故障，惡意制造賬戶余額不足的條件，竊取了淘寶網(wǎng)10余萬筆，共計1300余萬元的錢款。而在他成為”千萬富翁“前，他只是在淘寶開了一家店鋪，從事軟件銷售。

在胡某被帶上法庭時，大家普遍認(rèn)為他是一名技術(shù)高手，而事實恰恰相反。當(dāng)戴著眼鏡，個子瘦小的胡某出現(xiàn)在大家面前時，大家才覺得不可思議。他才20歲出頭，滿臉稚氣，在庭審中他當(dāng)庭表示認(rèn)罪。

胡某打賞YY視頻主播

據(jù)悉，獲利后的胡某慈心大發(fā)，經(jīng)常在YY視頻網(wǎng)站上打賞女主播，其中最多的一次，給了女主播8萬元。當(dāng)他被抓獲后，僅剩300多萬，其余已經(jīng)被胡某揮霍一空，其中大部分錢被他用作打賞YY視頻主播。

相對淘寶這一”低級錯誤“或”低級漏洞“，國外一些技術(shù)黑客似乎要更為專業(yè)，他們利用自己的技術(shù)優(yōu)勢，對大公司的系統(tǒng)或軟件進(jìn)行侵?jǐn)_，并從中獲利。

02-TJX銀行卡失竊事件

2008年的TJX銀行卡失竊事件是震驚海外的黑客盜竊事件。當(dāng)年，美國服裝和家庭時尚低價零售商TJX的支付系統(tǒng)被黑客入侵，大約9400萬位客戶的銀行卡被盜。

TJX銀行卡失竊事件

當(dāng)事件在當(dāng)年被評為史上最惡劣的的黑客入侵事件，因為當(dāng)時的美國才不過3億人口，接近1/3的人的銀行卡被盜，影響十分廣泛，民眾對TJX發(fā)生這樣的信息安全事件不滿，擔(dān)心自己的銀行卡信息已經(jīng)被泄露或兜售，給自己帶來經(jīng)濟(jì)的損失。

TJX銀行卡失竊事件影響惡劣

負(fù)責(zé)此案的FBI調(diào)查官員歷經(jīng)半年的調(diào)查，終于將犯罪嫌疑人特·岡薩雷斯抓拿歸案。但事實上，接下來的結(jié)果令大家都意外得大跌眼鏡。

犯罪嫌疑人特·岡薩雷斯

原來，特·岡薩雷斯被抓時還是美國特勤局員工，當(dāng)時的他正以75000美元的薪水在特勤局工作。這樣的調(diào)查結(jié)果令美國特勤局蒙羞，但也不能令公眾的怒火平息。

特·岡薩雷斯唯一的動機(jī)是技術(shù)好奇心，他被診斷為患有亞斯伯格癥和電腦成癮。他對征服計算機(jī)網(wǎng)絡(luò)尤為癡迷，他單純的目標(biāo)是”計劃賺1500萬美元，買一艘游艇，然后退休“。

但他的行動在檢方的一些列證據(jù)下，證實他的計劃是有預(yù)謀的。他在2005年至2008年在美國制造了一連串的信用卡盜竊事件，這些行為為他的個人賬戶帶來了1.7億美元的收入。

雖然這些收入已經(jīng)超出了他當(dāng)初”1500萬美元便收手“的目標(biāo)，但他已經(jīng)不能控制自己收手。他甚至利用自己的職位之便，在他的部分行動中使用SQL注入來竊取私人計算機(jī)網(wǎng)絡(luò)的用戶數(shù)據(jù)，并啟動欺騙攻擊，以獲取私利。

他這一行為最終令美國特勤局的形象和顏面掃地，為此，美國特勤局全局上下進(jìn)行了一次嚴(yán)格的清理調(diào)查，意在與那些”精神有問題的雇員“撇清關(guān)系。

最終，特·岡薩雷斯被判監(jiān)禁20年。后來又因為盜取了1.3億張信用卡和借記卡資料被判處終生監(jiān)禁。至今，他依然活在美國監(jiān)獄中。他瘋狂固執(zhí)的行為最終付出了慘痛的代價。

03-世界頭號軍事黑客

2002年，弗吉尼亞邁爾堡陸軍炸開了鍋，涉及到該軍司令部的管理員特權(quán)、密碼、信息和指令被黑客盜取，大約1300個用戶帳戶刪除。

這一事件在當(dāng)年十分敏感，因為鑒于當(dāng)時并不穩(wěn)定的國際環(huán)境，美國不得不將懷疑的目光投向相互競爭的軍事國家。畢竟在當(dāng)時，還沒有個人傻到敢于向美國陸軍叫板。

黑客麥金農(nóng)

經(jīng)過美國的層層調(diào)查，才將疑犯鎖定為6000公里外的英國男子：麥金農(nóng)。麥金農(nóng)于2002年被英國政府逮捕，他被控訴入侵美國軍方和美國國家航空航天局(NASA)的計算機(jī)網(wǎng)絡(luò)。

而在麥金農(nóng)被捕時，他不過是一位失業(yè)的電腦專家。他的行為被美國認(rèn)為是美國有史以來最大規(guī)模的一起軍用電腦入侵事件”。

而事后，麥金農(nóng)對這一事件作出回應(yīng)。他認(rèn)為，進(jìn)入美國軍方的計算機(jī)網(wǎng)絡(luò)就像“進(jìn)入花園那樣簡單”，“一些計算機(jī)甚至沒有設(shè)置開機(jī)密碼”。

這讓美國軍方惱羞成怒，據(jù)報道，美國國防部每年有300億美元的預(yù)算用域加強計算機(jī)網(wǎng)絡(luò)安全，以及對付黑客的攻擊。而在麥金農(nóng)看來，300億美元干的活卻是一項豆腐渣工程。

麥金農(nóng)認(rèn)為自己不過是一名普通的電腦愛好者，他可以在很輕松的狀態(tài)下就進(jìn)入了美國軍方的網(wǎng)絡(luò)。這讓美國軍方十分丟臉。

當(dāng)年美國軍方發(fā)言人克魯來說：黑客們，別招惹美國政府和軍方的計算機(jī)網(wǎng)絡(luò)，否則沒有好果子吃。

美國希望拿麥金農(nóng)開刀，來一個殺雞儆猴！

但事實上，沒有任何證據(jù)證實麥金農(nóng)利用手上獲取的數(shù)據(jù)信息牟利，這僅僅是他的一些“個人偏好”。麥金農(nóng)辨稱他只是普通的電腦愛好者，之所以侵入美軍方電腦系統(tǒng)，只是尋找有關(guān)外星人和UFO的絕密信息。美國甚至無法就麥金農(nóng)的引渡問題達(dá)成一致。

麥金農(nóng)的“特殊偏好”

他甚至被嫌疑為，在“9·11”恐怖襲擊之后的“非常時期”，利用黑客技術(shù)使美國至關(guān)重要的國防系統(tǒng)在短時間內(nèi)陷入癱瘓。

麥金農(nóng)對此作出回應(yīng)：”美國的安全保衛(wèi)體系有漏洞，我將會繼續(xù)制造混亂！“據(jù)了解，在2001至2002年，麥金農(nóng)不少于97次成功地進(jìn)入美國軍事和航空航天局網(wǎng)絡(luò)的系統(tǒng)。

他是第一個向美國軍方網(wǎng)絡(luò)發(fā)起攻擊的網(wǎng)絡(luò)黑客，他也因此成為“世界頭號軍事黑客”。

美國軍方一直在致力引渡他，并對他的行為飲恨至今。換做當(dāng)時部分媒體的話，就是”美軍方恨不得將他下油鍋“。

04-國外黑客招安計劃

近年來，隨著互聯(lián)網(wǎng)的興起，以及全球計算技術(shù)的廣泛普及和推廣，讓更多的技術(shù)愛好者參與到了黑客行列。

這意味著，作為賴以技術(shù)發(fā)展的互聯(lián)網(wǎng)公司，更加的擔(dān)心自身漏洞被黑客捕獲，造成經(jīng)濟(jì)上的損失。

為此，各家互聯(lián)網(wǎng)公司為響應(yīng)這一危機(jī)，絞盡腦汁，推出了各種黑客”招安計劃“。

微軟公司

微軟公司宣布啟動了漏洞賞金計劃，以每天440萬美元的賞金，對每年從微軟系統(tǒng)發(fā)現(xiàn)的漏洞的白帽黑客進(jìn)行獎勵，確保了數(shù)百萬客戶的信息安全。

谷歌Google

谷歌Google全年開放黑客獎金，他們可以隨時向谷歌提出漏洞以及漏洞修復(fù)建議，他們會根據(jù)漏洞的嚴(yán)重程度，對提出此漏洞的黑客進(jìn)行數(shù)額不同的獎勵，最高可獲150萬美元的獎勵。

谷歌還經(jīng)常舉辦活動邀請黑客攻擊自己的產(chǎn)品，并給予獎金，讓黑客可以繼續(xù)為 它尋找漏洞。

Facebook

Facebook推出漏洞獎勵忠誠計劃 Hacker Plus。Facebook 公司表示它計劃根據(jù)每年研究員提交的漏洞報告總數(shù)量、分?jǐn)?shù)，將根據(jù)分值對白帽黑客進(jìn)行不同級別的獎勵。

Steam平臺

作為目前世界上最大的游戲平臺，Steam平臺的創(chuàng)辦公司V社在近日公布了獎勵計劃，發(fā)現(xiàn)平臺中漏洞的網(wǎng)友將會根據(jù)系統(tǒng)問題的嚴(yán)重性來換取數(shù)額不等的獎金。

05-國內(nèi)黑客招安計劃

相對于國外的“黑客招安計劃”，國內(nèi)的互聯(lián)網(wǎng)公司也紛紛效仿。他們紛紛自建各自的漏洞平臺，對漏洞報告者作出獎勵。

騰訊安全應(yīng)急響應(yīng)中心

騰訊安全應(yīng)急響應(yīng)中心（TSRC），自建在線漏洞報告平臺，目前發(fā)出的單個漏洞最高獎勵金額是12萬元。除對漏洞獎勵大手筆外，TSRC還定期地在全國各地舉辦安全沙龍與技術(shù)分享，促進(jìn)安全從業(yè)者間的交流和技術(shù)進(jìn)步。

網(wǎng)易安全中心（NSC），國內(nèi)出現(xiàn)的第二個廠在線漏洞報告平臺。從2014年開始，網(wǎng)易也開始增設(shè)現(xiàn)金獎勵計劃，并且在逐步提高獎勵額度，進(jìn)一步“招安”白帽黑客。

百度安全響應(yīng)中心（BSRC），BSRC成立于2013年6月，除漏洞獎勵外，他們還舉辦過各種挑戰(zhàn)賽，線下安全沙龍等活動，也專門針對百度移動產(chǎn)品舉辦過現(xiàn)金獎勵計劃。

阿里巴巴安全應(yīng)急響應(yīng)中心

阿里巴巴安全應(yīng)急響應(yīng)中心（ASRC），相比騰訊、網(wǎng)易和百度，阿里在安全上應(yīng)該是最為大方的廠商。 ASRC成立于2013年10月，也是SRC平臺中的大土豪之一，單個漏洞的最高獎勵為10萬元。ASRC也定期在各地開辦“雷鋒互聯(lián)網(wǎng)安全沙龍”。

而作為國內(nèi)云業(yè)務(wù)頭把交椅的阿里云，更是通過各路的招兵買馬，匯集全球各路網(wǎng)絡(luò)安全好手，意在收攏和招安全國各地的黑客高手，為其服務(wù)，它是在互聯(lián)網(wǎng)企業(yè)中針對網(wǎng)絡(luò)安全最為舍得下重本的公司之一。

06-結(jié)束語

21世紀(jì)的安全是信息技術(shù)的安全，大部分人的行為都通過互聯(lián)網(wǎng)關(guān)聯(lián)，很多人的利益都與網(wǎng)絡(luò)互通。

21世紀(jì)的安全是信息技術(shù)的安全

而在我國，一個手機(jī)走天下已經(jīng)不是什么新鮮的事兒。微信、支付寶等網(wǎng)絡(luò)聊天、支付工具盛行，把人們帶進(jìn)了全網(wǎng)信息時代。

在這樣的環(huán)境下，現(xiàn)在的人幾乎是全透明的，人們的個人隱私和信息安全是否得到有效的保障呢？

在這樣的一個信息大數(shù)據(jù)的通信時代，一些互聯(lián)網(wǎng)公司對用戶的個人信息的安全保護(hù)變得十分重要。

用戶個人隱私和數(shù)據(jù)安全是十分重要的

這次淘寶的“低級漏洞”只是一個無意的發(fā)現(xiàn)。在今天一個黑客盛行的年代，如果不注重保護(hù)用戶個人隱私和數(shù)據(jù)的公司，它的道路注定不是長久的。

很多人都相信自己的信息數(shù)據(jù)是安全的時候，黑暗中其實有著很多黑客的雙手，他們試圖攻擊安全網(wǎng)的每一道防衛(wèi)線，對關(guān)系公司或機(jī)構(gòu)作出致命的攻擊。

黑客們的力量通常是無形的，而大公司們這么多年來實行的“黑客招安計劃”開始奏效了嗎？

《瞭望-LW》

《瞭望-LW》—— 看你所看不到！

關(guān)注我，分享更多環(huán)球你所不知道的事物！

據(jù)悉，5月26日，大足警方通報了一起幫助信息網(wǎng)絡(luò)犯罪活動案，其作案手法就是利用部分群眾愛貪小便宜的心理，在大街上邀請群眾掃碼進(jìn)微信群，即可免費獲得禮品的方式，誘使受害人上當(dāng)受騙。

“犯罪嫌疑人通過禮品引誘群眾加入微信群，并讓群眾邀請好友進(jìn)群，隨后再要求過路群眾退群?！敝橄沙鏊窬斐瘎偨榻B說，犯罪嫌疑人通過這樣的方式，企圖阻斷警方的偵查，隱藏自己的犯罪行為。

2022年1月初，大足市民黃先生表示，他在幾天莫名進(jìn)入了一個微信群，自己起初并未在意，接下來的幾天發(fā)現(xiàn)群里不斷有人在曬收益截圖，群主給這些曬收益的人分發(fā)紅包，出于好奇黃先生便開始關(guān)注，跟著做了幾單小任務(wù)，并獲得了收益。這樣黃先生欣喜不已，便按照對方指令下載了一個叫“米管家”APP并在里面做任務(wù)，在投入了26400元，對方卻失聯(lián)了。這時，黃先生才意識到自己被騙。

此時，黃先生趕緊報警，在警方的提醒下，黃先生通過翻看群內(nèi)記錄，發(fā)現(xiàn)自己的好友朱女士竟然也在群里，是她把自己拉進(jìn)群的。隨后，民警趕緊聯(lián)系朱女士，獲悉在2021年12月28日，朱女士在大足步行街散步時，有三個陌生人手里拿著玩偶，邀請朱女士掃碼進(jìn)群并拉30個微信好友，便可免費獲得玩偶，朱女士心想進(jìn)群又不吃虧，便按照對方的指示照辦。

但朱女士在獲得禮物后，并沒有按照對方要求再退群，這恰好留下了黃先生如何進(jìn)群的記錄。民警順藤摸瓜，于今年3月先后將涉嫌犯罪的5名嫌疑人抓獲。

嫌疑人鄭某被抓獲后失聲痛哭，表示一時被利益沖昏頭腦，觸犯了法律，現(xiàn)在后悔不已。

民警介紹，這是一個以晏某、鄭某為首的，從事幫助信息網(wǎng)絡(luò)犯罪活動的5人團(tuán)伙，該團(tuán)伙經(jīng)常活躍在大足、銅梁、合川等地，他們分工明確，有專人負(fù)責(zé)在街上引誘群眾進(jìn)群、在群里發(fā)布刷單任務(wù)等，為詐騙分子提供可乘之機(jī)。經(jīng)初查，該團(tuán)伙共獲利15萬余元。

目前，5名嫌疑人因涉嫌幫助信息網(wǎng)絡(luò)犯罪活動罪被公安機(jī)關(guān)采取刑事強制措施，案件進(jìn)一步偵辦中。