专栏丨员工为牟私利,利用抓包技术获取服务器数据,会是什么下场?
2022-3-2 11:50:45 Author: www.secpulse.com(查看原文) 阅读量:16 收藏

随着互联网的迅速普及和广泛应用,网络安全问题日益凸显,为了规范和约束网络运营者的行为,保障基础设施和网络空间的安全,国家相继出台了《网络安全法》、《密码法》、《数据安全法》、《个人信息保护法》等诸多法律法规。

正在从事或即将入门网络安全行业的从业者,一定要严格遵守法律法规,坚决不触碰法律红线,切实做到知法、懂法、尊法。

i春秋“网络犯罪案例分析”专栏每周更新1个真实案件,通过剖析真实的网络犯罪案例,加强网络安全从业者的法律意识。

投稿作者

YOU

i春秋西南校区教学负责人、CISP-PTE认证讲师、NSATP认证讲师、Cisaw-Web认证讲师。

本期概述:被告人为牟私利,非法获取APP数据,构成非法获取计算机信息系统数据罪,判处有期徒刑四年六个月。

本期关键词

1、非法获取计算机信息系统数据罪;

2、APP数据

案情详述

公诉机关北京市朝阳区人民检察院。

被告人赵某,男,1992年10月2日出生,汉族,本科文化。因涉嫌犯非法获取计算机信息系统数据罪于2020年1月9日被刑事拘留。

被告人赵某于2019年1月至12月,原北京宽客网络技术有限公司(以下简称宽客公司)核心开发人员,离职后利用抓包技术,以模拟真实用户的方式访问宽客公司音悦台公司服务器,获取“音悦台”服务器数据,用于其仿制的“音悦台—无广告高清纯净版”APP使用,在苹果应用商店上架运营,获取非法利益28605.87美元(折合***197595.50元)。

被告人赵某于2020年1月9日被北京市公安局朝阳分局呼家楼派出所民警抓获。

诉讼过程和结果

本院认为,被告人赵某法治观念淡薄,为牟私利,未经宽客公司授权或者同意以以非法方法获取宽客公司“音悦台”APP中的数据,并以此获利19万余元,其行为已构成非法获取计算机信息系统数据罪,且属情节特别严重,应予惩处。北京市朝阳区人民检察院指控被告人赵某犯非法获取计算机信息系统罪的罪名成立。

鉴于被告人赵某到案后能够如实供述主要犯罪事实,缴纳全部违法所得,本院对其依法予以从轻处罚。在案款一并处理。综上,根据被告人赵某犯罪的事实、犯罪的性质、情节及对于社会的危害程度,本院依照《中华人民共和国刑法》第二百八十五条第二款、第六十七条第三款、第六十一条、第六十四条及《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第一条之规定,判决如下:

一、被告人赵某犯非法获取计算机信息系统数据罪,判处有期徒刑四年六个月,罚金***五万元。

二、被告人所缴纳的在案款,予以没收。



案情分析

案情很简单,但判决书中有一段辩护意见很有意思,特意摘录下来。

辩护人认为:

(1)宽客公司遵从“爬虫协议”,对数据有的设置了保护的,有的没有设置保护,被告人赵某其使用的都是没有设置保护的数据。

(2)“音悦台”APP所有的防护都是对API的保护,API属于接口信息,被告人赵某是使用该接口调用数据,被告人即使破解了对API的保护也并没有侵犯非法获取计算机信息系统数据罪的客体,因而不构成本罪。

对于上述意见,本院认为,API与计算机信息系统的关系是技术问题,据在案证据无从判定,但在案证据可以证明:

(1)宽客公司虽然遵从“爬虫协议”,但这种遵从所对应的数据公开不是无限的,而是有边界的,宽客公司也同时对”音悦台”APP中的数据设置了层层防护,且这种防护措施即使在公司内部也只有少数人才能知晓;

(2)赵某曾经是宽客公司”音悦台”APP核心开发人员,非常清楚宽客公司对于”音悦台”APP的设置的各层防护,赵某利用了自己熟悉宽客公司防护设置及客户需求的便利,结合自己的专业能力设计的仿制APP,可以随意对”音悦台”APP中的数据进行调取并使用;

(3)宽客公司的数据存储于公司的服务器之中,而赵某没有自己的服务器,其仿制的APP使用的数据是存储于宽客公司的服务器之中的数据。

鉴于以上三点,本院认为,无论这种调取并使用数据是侵入到计算机信息系统内部,亦或是通过API接口进行,均是通过一定的技术手段实现,即使路径不一,结果也应当视为已经获取了”音悦台”APP中的数据。

这里说的爬虫协议是指robots协议,也是大家渗透测试经常遇到的robots.txt文件,是一种存放于网站根目录下的文本文件,它通常告诉网络搜索引擎的爬虫,此网站中的哪些内容是不应被搜索引擎的爬虫获取的。robots协议并不是一个强制性约束,只是国际互联网界通行的道德规范。

相关法律规定

《中华人民共和国刑法》

第二百八十五条 

(第一款)【非法侵入计算机信息系统罪】违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。

(第二款)【非法获取计算机信息系统数据、非法控制计算机信息系统罪】违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。

(第三款)【提供侵入、非法控制计算机信息系统程序、工具罪】提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的,依照前款的规定处罚。

(第四款)单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。

《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》

第一条 非法获取计算机信息系统数据或者非法控制计算机信息系统,具有下列情形之一的,应当认定为刑法第二百八十五条第二款规定的“情节严重”:

(一)获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上的;

(二)获取第(一)项以外的身份认证信息五百组以上的;

(三)非法控制计算机信息系统二十台以上的;

(四)违法所得五千元以上或者造成经济损失一万元以上的;

(五)其他情节严重的情形。

实施前款规定行为,具有下列情形之一的,应当认定为刑法第二百八十五条第二款规定的“情节特别严重”:

(一)数量或者数额达到前款第(一)项至第(四)项规定标准五倍以上的;

(二)其他情节特别严重的情形。

END

本文作者:i春秋聚集地

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/174168.html


文章来源: https://www.secpulse.com/archives/174168.html
如有侵权请联系:admin#unsafe.sh