17 | 漏洞在眼前,可以悄悄破解吗?

网络安全一直是每个IT工程师关注的重点,虽然我对技术了解不多,但是因为系统漏洞造成的网络安全事故,比如用户数据泄露等,倒也听过不少。系统存在漏洞,是技术问题,但如果有人利用了这个漏洞,那可不仅仅是技术的范围了。

前不久某鹅厂23岁安全工程师的新闻,想必你不会陌生。年轻的工程师,因为对酒店的Wi-Fi系统顺手一测,又顺手一发给传播了出去,就被新加坡安全局给抓了。感觉似乎挺冤枉?还真不冤,比如你看这个真实的案例。

小安是一家公司的运维主管,技术也很不错。一次工作中,他发现了公司技术上的漏洞,于是悄悄导出了公司的数据,并在网上出售,最终赚了26万元。

等待小安的是什么呢?钱,要补偿给公司,人,也要蹲大牢,罪名是非法获取计算机信息系统数据罪。为什么小小动作的惩罚会这么严重呢?

老规矩,我们还是先来了解下相关的法律知识。

法律知识

首先我们来看,“非法获取计算机信息系统数据罪”这个罪名。罪名很长,你可以重点先记住前四个字,“非法获取”,跟我们后面讲到的另一个罪名做个区分。

非法获取计算机信息系统数据罪是指违反国家规定,

  • 侵入计算机信息系统,注意这里是指除了国家事务、国防建设、尖端科学技术领域这三点外的其他领域。

  • 或者获取计算机信息系统数据。

并且,符合“情节严重”这一特点的行为。

在这里,我要重点解释几个概念。

首先,这里的“计算机信息系统数据”是指计算机里存储、处理、传输的数据,不仅包括了计算机系统数据和应用程序,还包括了你在计算机里存放的各种个人信息。

但是脱离了计算机存放的数据,比如光盘、U盘中的计算机数据,不适用于这个罪名。比如说,别人copy你的U盘,然后把里面的信息数据转手在网上卖出去,或者是进行其他操作,就不属于这个罪了。

第二,本罪里面的“情节严重”指的是:

  • 获得10组以上的网络金融服务的身份认证信息,包括支付结算、证券交易、期货交易等;

  • 获得500组以上的其他内容的身份认证信息;

  • 非法控制了20台以上的计算机系统;

  • 非法收入达到5000元以上

  • 造成经济损失达到10000元以上

以上的五个情节,只要达到了一点,就要追究刑事责任了。通常会被判处三年以下的有期徒刑或者拘役,可能会有罚金。严重点的,可能就是三年到七年的大牢了。

特别注意的是,违法收入只要达到5000元就构成了犯罪,而且即使你没赚钱,只要给公司造成了10000元以上的经济损失也同样构成犯罪。这点钱可真不算多,也可以看出,这个罪名的定罪标准是真的很低,国家的保护很严格,如果不对自己多加约束,一不小心可能就犯罪了。

另外,非法获取计算机信息系统数据罪有明确的范围界定,指的就是我们普通的商业或者工业范围,不包括国家事务、国防建设、尖端科学技术领域这三个领域。那如果你触碰的是这三个领域的计算机系统呢?

一定要特别注意我接下来要讲的,这三个领域万万碰不得!一旦你对国家事务、国防建设或是尖端科学技术领域的计算机做小动作,会犯另一个很严重的罪名,非法侵入计算机信息系统罪

这个罪名的重点,你也可以记住前四个字,“非法侵入”。“侵入”二字,一听就比“获取”正式、严重得多。事实上也是这样,我们前面所说的非法获取计算机信息系统数据这个罪名,本质上是因为你入侵系统后的其他操作,比如操纵系统、copy或贩卖数据、或者传播等,也就是我们所说的“情节严重”的行为。

非法侵入计算机信息系统罪不考虑后果,属于行为犯(也就是以某个行为作为判罪的标准),侵入即犯罪!这里的“侵入”,是指没有国家部门的授权或批准,非法获取口令或许可证明后,冒充合法使用者,进入国家系统或者截收数据的行为。有些人甚至把自己的计算机和国家系统联网,同样犯罪。

事实上,如果侵入了这些领域,一般会被处三年以下的有期徒刑或者拘役。

其实这也很容易理解,这些关键领域对于保障国家安全、经济发展、和保护我们普通人的生命财产安全等方面,都十分重要。一旦被入侵,不管你是恶意的破坏分子,还是好奇心作祟,或者只是想单纯地秀技术,这种行为都可能导致重要数据被破坏,或重要、敏感的信息被泄露,带来巨大的灾难。所以,这里必须特殊对待,严厉惩罚。

当然,在实际判案中,一些确实无意识的,或是情节很轻微、没有带来巨大危害的行为,可以不按照犯罪来处罚,但是惩罚还是会有的。所以,遵纪守法在这里,真的就不是说说而已了。

情景分析

经过上面的学习,小安的问题就很容易分析了。即使公司技术有漏洞,也不是小安做坏事的理由啊。而且,公司有没有损失,并不是小安说了算的。这种事情,一旦越界后被公司发现,轻则开除,重的就是刑事犯罪了。

想想我们上面说到的那五个情节,非法收入达到5000元,或是给公司造成损失10000元,就可能被判处三年以下有期徒刑。小安卖数据赚了26万元,显然既得赔钱,又要坐牢。

事实上也是如此,法院最终判决,小安犯非法获取计算机信息系统数据罪,有期徒刑三年,并处罚金10000元人民币。

你看看,权衡一下利弊,其实就是四个字:得不偿失。遇到这种事,我们本应该及时告诉公司,修复漏洞,这对公司来说挽回了一场损失,对你来说,也可能因此得到老板的赏识,获得更好的发展。这也是一个员工的基本职业素养啊!

思维法宝

在工作中,我们可能难免会发现公司的管理漏洞或者是技术开发漏洞,抵挡住诱惑并解决,可能会迎来新的发展;利用漏洞并牟利,估计就会锒铛入狱了。

更何况,现在对犯罪的追究,并不只是你在工作期间被发现的违法行为。即使你在职时的违法事儿没被发现,离职后被公司查到了,你一样会受到法律的制裁。

说了这么多,最后,我来总结一下我们今天的内容。我们主要学习了技术从业者的“两堵墙”,分别是非法获取计算机信息系统数据罪非法侵入计算机信息系统罪,两个罪名涉及的领域不同,前者也就是“非法获取”这个罪名,强调的是普通领域的侵入和“情节严重”的判定,后者也就是“非法侵入”强调的是三个特殊领域的侵入,并且侵入即犯罪。

两个罪名的判定和后果都不同,但相同的是,判定标准都很低,要特别留心。


还是那句话,技术犯法不仅仅是技术问题,更是背后的动机和应用场景问题,而我们要关注的也不仅仅是技术,更要清楚可能触碰到的红线和后果的严重性,才能在意识和行为中建立好防线

那么对于今天的内容,你还有哪些不清楚的地方或是想了解的吗?或者是你曾经有过触碰红线的危险经历吗?欢迎留言与我分享,记录下你此时的感悟或是问题。也欢迎你转发给身边的技术朋友,给特别的人特别的关爱。

精选留言

  • 万象

    2018-11-09 07:24:31

    离职的时候复制公司的业务代码,这个怎么算
  • Hwei

    2018-11-12 23:19:39

    老师,如果我开发一个在线工具,别人可以借助我这个工具下载某短视频平台的公开视频? 我违法吗?
    作者回复

    涉嫌侵犯他人的版权

    2018-11-13 20:40:07

  • linkin

    2018-11-09 11:07:18

    老师,爬虫爬取某日头调的大量公开数据这个算违法吗?
    作者回复

    获取的公开数据不得进行非法使用或商业使用

    2018-11-10 12:04:43

  • hua168

    2018-11-09 09:14:32

    1. 运维类,服务器的网站被入侵,公司数据被拿走,或实时同步用户购买数据,然后打电话给用户骗取金钱,这样情况,所负责的运维人员要负法律责任吗?
    2. 开发因考虑不全,更新代码,造成网站某种购买活动偏低或偏高,造成公司损失。开发要负法律责任吗?
  • yason li

    2018-11-09 11:04:58

    如果某人在职期间因工作需要合法获取了资料数据并存储在u盘上,然后意外丢失了该存储设备导致数据泄露。请问是否违法呢?
    作者回复

    可能需要承担民事责任

    2018-11-10 12:21:25

  • Seven

    2018-11-09 23:32:29

    老师,通过学校内网账户从电子图书馆爬取数据算是违法行为吗? 电子图书馆的数据是学校买的。
    作者回复

    可能涉嫌盗窃。

    2018-11-10 12:10:14

  • 火神锤

    2018-11-09 08:44:00

    离职的时候复制了公司关键代码并传播出去,算是破坏了竞业协议吧。

  • 2020-11-02 21:36:45

    没想到计算机领域的判定标准都这么低。突然感觉自己从事的是一个危险职业。
  • devna

    2020-02-19 19:27:30

    我一个同学读研时有次和导师一起去部队上做项目,用自己的笔记本接入了部队网络,然后笔记本就被没收了。后来把笔记本硬盘拆了,才把笔记本还给了他。
    现在想想,他那时候应该就在非法侵入的边缘了。
    作者回复

    这个情况比较特殊,应该是没有后果就算了。

    2020-03-16 11:04:00

  • Middleware

    2020-02-06 14:46:33

    好好搬砖,别被自己的小聪明,最后害了自己
  • 攻城拔寨

    2018-11-10 17:58:30

    通过验证码平台,获取某些平台例如饿了么的新用户优惠券,这个有没有什么风险
    作者回复

    数量大就可能构成犯罪。后续专栏会讲

    2018-11-12 08:40:56

  • 小喵喵

    2018-11-09 21:03:14

    员工离职并发客户带到了竞争对手哪里去了,这个是犯什么罪呢?判取原则又是什么呢?
    作者回复

    侵犯商业秘密罪看一下。

    2018-11-10 12:13:23

  • 小喵喵

    2018-11-09 20:51:16

    小安卖数据赚了 26 万元,犯非法获取计算机信息系统数据罪,判有期徒刑三年,并处罚金 10000 元人民币。卖方又是犯的是什么罪,怎么处罚的呢?

    作者回复

    共同犯罪

    2018-11-12 10:36:01

  • felix

    2018-11-09 09:46:45

    发现了其他网站或者软件APP的漏洞,并以此为自己牟利的行为是怎么规定的呢?
  • 兔2🐰🍃

    2019-11-01 21:05:33

    网上某些平台通过开通会员的方式让会员读取爬出来的抖音数据算侵犯他人版权么?
    作者回复

    这种很恶劣,未来应该会把此行为入刑。

    2020-01-06 18:55:31

  • splm

    2019-04-01 09:07:16

    @felix 这个上面已经说的很清楚了,属于非法获取计算机信息系统数据罪,情节严重的比如获利5000,给他人造成损失超过10000需要面临3年以下的牢狱之灾,还要赔钱。
    作者回复

    谢谢。

    2019-07-04 11:06:33

  • 18601611625

    2019-03-29 10:26:08

    比如我在 A公司 就职,然后利用爬虫技术在各个网站抓取各种数据,拿到数据之后将数据进行分析,然后将数据信息和分析后的内容补充到就职所在公司的数据库中,这算违法吗?
    作者回复

    如果是公开数据,不影响别人公司的运营,没有进行商用,问题不大。

    2019-07-04 11:07:30

  • NextERA

    2018-12-11 19:26:23

    自己开发了一套应用程序,未完成状态。有公司看中邀请加入,加入后继续了开发,知道完成。这期间有人出钱购买部分代码。这笔交易算违法吗?
  • 阿茂

    2018-11-14 17:58:16

    希望讲下什么是企业的非法集资,非法吸储?如何界定?
    作者回复

    面向不特定的人吸纳资金是非法集资的主要表现形式。非法集资的行为可能构成集资诈骗或非法吸收公众存款犯罪。

    2018-11-15 08:18:01

  • Hwei

    2018-11-14 09:11:42

    老师,我们可以借助迅雷来下载一些有版权的电影,迅雷违法吗?
    作者回复

    那要看迅雷有没有得到授权了

    2018-11-14 16:17:24