1.6萬多個企業單位郵箱的管理員權限,被發現一夜之間遭竊取。
“熱愛”黑客技術的某公司安全測試工程師王某,利用北京二六三企業通信有限公司(以下簡稱263公司)網絡系統的漏洞侵入其服務器。據他交代,通過程序批量登錄企業郵箱并導出通訊錄,263公司所有企業郵箱用戶的通訊錄資料均被他竊取。
記者從263公司了解到,該公司的客戶包括眾多知名企業,以及保監會、北京市地方稅務局等政府機關。
王某因非法獲取計算機信息系統數據被昌平區檢察院公訴至昌平區法院后,日前被判處有期徒刑3年,緩刑5年,并處罰金6000元。
事發 “永不泄密”的郵箱 一夜被破
263公司是一家為企業用戶提供通信服務的企業,企業郵箱服務是其主要業務。
其官網上宣稱,該公司在企業郵箱方面“專注15年,市場占有率第一”,“數據永不泄密”,是“中國企業第一品牌”。
但記者從政法機關了解到,2013年8月10日,263公司遇到一件囧事。進行例行的網絡安全檢查時,公司技術員發現服務器遭黑客入侵。
10日0時至5時,黑客獲取了16208個企業的管理員權限。每個管理員權限,對應的是這家企業的所有員工個人郵箱、單位部門信箱等,黑客竊取了相應的郵箱通訊錄。
除此之外,黑客還采用暴力破解手段,破解了2個用戶的郵箱密碼,并修改了其中一個郵箱的密碼。
數日后,263公司向北京市公安局昌平分局網絡安全保衛大隊報案。
過程 “要不是我,他們還意識不到漏洞”
公安部門經過對侵入電腦IP地址進行查詢,發現某公司高級網絡安全測試工程師王某有重大作案嫌疑。經訊問,王某交代了作案動機和經過。
王某是計算機專業出身,非常“熱愛”黑客的攻防技術知識。
他告訴民警,2013年8月9日上午11點,他在國外web服務器開源組織“阿帕奇”的官網上,看到其公開的遠程命令執行漏洞“struct”。8月份,很多網站都爆出漏洞。
“我們公司是263企業郵箱的使用者,所以我的第一反應是去測試263企業郵箱是否第一時間修復了這個漏洞。”王某說。
當天,王某自己編寫腳本文件對263公司的服務器進行掃描,發現263公司存在“struct”漏洞。
王某說,發現263的問題他很吃驚。“因為263是知名廠商。我在烏云漏洞平臺發現,之前幾天有人給263公司提交了這個安全問題,但公司忽略了。我就想,廠商安全意識不足,要不是我最終利用這個漏洞進入到后臺系統,廠商可能還意識不到這能帶來多大的危害。”
“1.6萬企業郵箱通訊錄,我全有”
王某說,之后,他在網上下載用于遠程登錄的可執行文件sever.jsp,利用技術手段下載了263公司web服務器的用戶權限文件并進行修改,加入了可以訪問任何用戶的“超級密碼”——“youwilldie”,下班前上傳到263服務器。
“利用超級密碼,可以進入每個企業用戶的管理員系統,而通過管理員系統就能更改其下屬員工的郵箱密碼,這樣也能進入企業員工的郵箱,看到郵箱內容。” 王某說。
[page]
晚上6點多,王某下班回家。他說,當天晚上8點多,他在家用電腦上編寫腳本文件,從263公司的服務器日志中解析出所有263郵箱企業用戶的郵箱名,批量登錄企業郵箱并導出其通訊錄。
他向民警交代:“到10日5時許程序運行結束,所有1.6萬多家企業用戶的郵箱通訊錄都已經導到我的電腦上,有近60兆。”
8月12日晚上,王某在家篡改了263企業郵箱用戶“人人貸”的幾個員工的郵箱密碼。隨后登錄了這些郵箱,查看了郵箱里的郵件。
“沒有外傳,就想炫耀我的技術”
王某稱,企業郵箱通訊錄里還有大量的公民個人信息和企業信息,部分郵箱通訊錄里還有員工個人聯系電話,如果利用通訊錄對企業內的郵箱密碼進行破解,還可以獲知大量的企業交易信息和數據。
“這些數據可以用于傳播木馬或進行詐騙,網上,有人就在買賣那種企業郵箱通訊錄。”
但王某向警方表示,這些企業郵箱通訊錄一直保留其電腦里,自己沒有給過任何人。
據他稱,自己是為了炫耀計算機水平。他把獲取通訊錄的每個步驟都做了截圖,發給同事以及在QQ群里炫耀。
但王某的同事根本不相信。他的同事小陳證實,王某確實向他說過入侵了263網站的事,不過,“我當時覺得他在吹牛,沒當回事”。
重罰 情節特別嚴重 當庭判刑
王某被抓后說,“我想如果客戶知道263公司的郵箱不安全,公司的信任度會下降,可能會損失客戶。”
在開庭審理過程中,王某對公訴機關指控的犯罪事實及定性無異議,表示自愿認罪。
法院審理后認為,王某侵入企業計算機信息系統,非法獲取計算機信息系統中存儲的數據達1.6萬余組,情節特別嚴重,其行為已構成非法獲取計算機信息系統數據罪。
2014年7月30日,法院當庭宣判,王某因非法獲取計算機信息系統數據罪,被判處有期徒刑3年,緩刑5年,并處罰金6000元。
追訪 263公司發聲明 緊急補漏
263產品總監張曉丹表示,絕大部分信息外泄,黑客僅占小部分原因,更多都是企業不夠重視,例如不對密碼采取任何的加密措施、登錄入口未設任何安全門檻等等。
今天上午,263公司市場部一位姓趙的女士告訴《法制晚報》記者,黑客利用的網絡漏洞,是普遍存在于多家公司的網絡漏洞。
針對該案件,263公司作出聲明:犯罪分子利用的是2013年8月大多數網站普遍存在的struts漏洞,經法院查明,用戶通訊錄信息未被售賣和泄露。
263企業通信及時修補了漏洞,杜絕了安全隱患;為了維護用戶權益,承擔社會責任,263企業通信協助公安機關定位犯罪分子,迅速破獲此案。
京公網安備 11010502049343號