因?yàn)榕老x失控，CTO和程序員雙雙被判刑

上一篇：應(yīng)屆生怒懟管理層后續(xù)：已離職、被標(biāo)記永不錄用？騰訊張軍回應(yīng)...

導(dǎo)讀：要做一個(gè)文明的爬蟲技術(shù)團(tuán)隊(duì)。

開發(fā)

KG公司2014年成立，早期做互聯(lián)網(wǎng)金融，2017年轉(zhuǎn)型做互聯(lián)網(wǎng)科技公司，主營業(yè)務(wù)是“助貸”，也就為按揭貸款購房的客戶提供贖樓及債務(wù)置換貸款等服務(wù)。

這個(gè)業(yè)務(wù)需要經(jīng)常性地訪問政府居住證網(wǎng)站，查詢房產(chǎn)地址、房屋編碼和學(xué)區(qū)房的使用情況，用于做房產(chǎn)的市場評估和客戶風(fēng)險(xiǎn)評估。

因?yàn)槭謩?dòng)查詢效率低下，公司產(chǎn)品組經(jīng)討論后提出了一個(gè)建議——用爬蟲軟件自動(dòng)查詢。

2017年12月，CTO安排新入職的程序員負(fù)責(zé)這個(gè)項(xiàng)目，要求他研發(fā)一個(gè)自動(dòng)定時(shí)抓取的小程序，主要用來查詢、下載網(wǎng)上的數(shù)據(jù)。

2018年1月，項(xiàng)目經(jīng)理給程序員一個(gè)抓取數(shù)據(jù)的程序源代碼，程序員開始修改。

2018年3月，小程序被部署在阿某云服務(wù)器上自動(dòng)運(yùn)行，其內(nèi)置的“網(wǎng)絡(luò)爬蟲”可以：

鏈接某市居住證網(wǎng)站，也就是某市公安局人口管理處的居住證系統(tǒng)； 

可以在某市居住證網(wǎng)站上查詢到房產(chǎn)地址、房屋編碼等對應(yīng)的資料； 

軟件對網(wǎng)站訪問量能達(dá)到每小時(shí)數(shù)十萬次。

查詢的信息都被下載保存到公司購買的阿某云服務(wù)器上。

這個(gè)程序還被用于查詢房地產(chǎn)中介（中原地產(chǎn)、鏈家地產(chǎn)、Q房網(wǎng)等）在網(wǎng)上掛盤的房子信息，主要是查詢房價(jià)、用作參考。

出事

2018年4月27日10:43-12:00左右，居住證系統(tǒng)的承建單位發(fā)現(xiàn)系統(tǒng)出現(xiàn)宕機(jī)現(xiàn)象，追蹤到請求應(yīng)用服務(wù)器端口編號(hào)，但因日志缺失而無法定位IP來源，當(dāng)時(shí)懷疑是人為攻擊。

2018年5月2日10:00-12:00左右，系統(tǒng)再次遭遇攻擊，這次管理人員成功地截取了IP地址并報(bào)案。

此時(shí)，公司這邊還不知道惹禍了，直到2018年5月17日晚上11點(diǎn)，服務(wù)器維護(hù)人員接到了阿某云客服的電話。阿某云說他們公司的服務(wù)器IP被網(wǎng)警鎖定了，因有攻擊行為，讓他們趕緊聯(lián)系網(wǎng)警。CTO隨即電話聯(lián)系研發(fā)人員（應(yīng)該是指程序員），對方說估計(jì)是因?yàn)榫幼∽C網(wǎng)站加了驗(yàn)證碼，但公司程序沒做相應(yīng)的更新，就造成了程序出錯(cuò)發(fā)出攻擊行為。

5月攻擊事件的影響很大。

案發(fā)時(shí)，某市居住證服務(wù)平臺(tái)的注冊用戶超過530萬，服務(wù)面包括：

所有市民的網(wǎng)上自助受理系統(tǒng)；

151個(gè)派出所、街道辦居住證受理點(diǎn)的現(xiàn)場受理系統(tǒng)；

后臺(tái)接口為市網(wǎng)格辦、市交警局、市民政局，市交委等多個(gè)政府部門提供居住證、居住登記條件查詢和審核。

居住證系統(tǒng)受攻擊癱瘓期間：

軟件對某市居住證系統(tǒng)查詢訪問量為每秒183次，共計(jì)查詢信息約151萬條次，竊取大量建筑物編碼數(shù)據(jù)，造成政府信息泄漏；

所有居住證辦理、居住登記申報(bào)、信息查詢、對外服務(wù)功能均無法正常工作，影響面極廣；

市民無法辦理居住證和居住登記，相關(guān)生產(chǎn)生活秩序受到嚴(yán)重影響。

除了此次攻擊，還有一些派出所出具證明證實(shí)5月期間經(jīng)常出現(xiàn)系統(tǒng)無法登陸，錄入過程頻繁出現(xiàn)掉線、系統(tǒng)數(shù)據(jù)異常等情況。居住證系統(tǒng)無法正常使用、出現(xiàn)異常情況的時(shí)間長達(dá)一個(gè)多月。

供述

2018年8月，CTO、程序員被捕。

公安分局依法對公司進(jìn)行搜查，提取應(yīng)用程序源程序，應(yīng)用程序日志及運(yùn)行在服務(wù)器獲取的數(shù)據(jù)。經(jīng)司法鑒定所鑒定確認(rèn)：

導(dǎo)出的庫備份中檢出多個(gè)包含房產(chǎn)信息的數(shù)據(jù)表，包括房產(chǎn)的所處位置、樓宇編號(hào)、房間編號(hào)等信息，約有2905萬條；

在程序員的電腦上檢測出爬蟲程序的源代碼；

在IP地址為XXXX的服務(wù)器檢出爬蟲程序，這兩個(gè)爬蟲軟件程序均使用遍歷查詢的方式短時(shí)間向目標(biāo)網(wǎng)址URL地址“......”發(fā)起大量查詢請求，從而實(shí)現(xiàn)非授權(quán)下載數(shù)據(jù)庫內(nèi)容。

針對某市居住證網(wǎng)站及服務(wù)器的司法鑒定意見確認(rèn)：

網(wǎng)站遭受自動(dòng)化程序攻擊。IPXXXX對居住證服務(wù)器的持續(xù)大量的訪問造成了平臺(tái)在……期間無法正常對外提供服務(wù)，服務(wù)器無法正常運(yùn)行。

CTO供述和辯解時(shí)說：

爬取的是公開信息，沒有任何惡意去攻擊網(wǎng)站和系統(tǒng)，只是為了提高查詢效率。沒有爬取個(gè)人信息，沒有在市場上買賣或者和其他公司搞資源置換，沒有通過查詢某市居住證網(wǎng)站信息獲利。軟件是公司管理層開會(huì)決定開發(fā)的，由法定代表人交代技術(shù)部研發(fā)，系統(tǒng)里的查詢和下載功能是程序員程序員負(fù)責(zé)開發(fā)的。程序員設(shè)定的是每周三次自動(dòng)查詢，后面怎么實(shí)施的我也不清楚，主要是程序員負(fù)責(zé)。

他還說自己也知道“從技術(shù)上來講，如果超過服務(wù)器承載能力的查詢肯定會(huì)引起系統(tǒng)卡頓或癱瘓”，但因不清楚網(wǎng)站和系統(tǒng)的承載能力，加上心存僥幸，就只是口頭提醒同事在服務(wù)器晚間相對空閑的時(shí)候去查詢，控制一下頻率。

程序員供述和辯解時(shí)稱：

不清楚抓取數(shù)據(jù)的原程序是誰研發(fā)的，沒有因查詢居住證網(wǎng)站而獲利，這是工作任務(wù)。3月份后就去做公司安排的其他任務(wù)了，這個(gè)程序在服務(wù)器上啟動(dòng)后，也沒有對程序做修改和更新，也沒有進(jìn)入服務(wù)器的權(quán)限，權(quán)限在運(yùn)維部門。

沒有爬取個(gè)人信息，沒有在市場上買賣或者和其他公司搞資源置換，只是用于公司業(yè)務(wù)上的參考。4月27日在公司，5月2日在日本，當(dāng)時(shí)沒對程序作出修改，猜測是因?yàn)榫幼∽C平臺(tái)更新了驗(yàn)證碼登陸功能，而我們的查詢軟件未做相應(yīng)的更新，導(dǎo)致程序出錯(cuò)，發(fā)出攻擊行為。

判決

二被告對起訴狀中指控的罪名沒有異議，只是希望能輕判。做罪輕辯護(hù)時(shí)：

都提出自己只是過失、疏忽大意，沒有預(yù)見可能會(huì)造成的后果，主觀上完全沒有破壞系統(tǒng)的故意；

都提出爬取的是公開信息，只是為了讓公司業(yè)務(wù)更高效，并沒有以此牟利；

CTO認(rèn)為自己授權(quán)程序員開發(fā)爬蟲程序，只是一次性爬取，并未要求每天自動(dòng)爬取，不是主犯；

程序員認(rèn)為自己只是按領(lǐng)導(dǎo)指示、完成工作任務(wù)……

法院認(rèn)為，二人違反國家規(guī)定，對計(jì)算機(jī)信息系統(tǒng)進(jìn)行干擾，造成為5萬以上用戶提供服務(wù)的計(jì)算機(jī)信息系統(tǒng)不能正常運(yùn)行累計(jì)1小時(shí)以上，屬于后果特別嚴(yán)重，應(yīng)以破壞計(jì)算機(jī)信息系統(tǒng)罪追究其刑事責(zé)任。

CTO，負(fù)責(zé)并授權(quán)程序員開發(fā)涉案爬蟲軟件，系主犯，判處有期徒刑三年 程序員受指派開發(fā)爬蟲軟件，在共同犯罪中起次要作用，系從犯，判處有期徒刑一年六個(gè)月。

最高人民法院、最高人民檢察院關(guān)于辦理危害計(jì)算機(jī)信息系統(tǒng)安全刑事案件應(yīng)用法律若千問題的解釋

至于這個(gè)案子里的其他人，從公司的法定代表人、提出建議的產(chǎn)品經(jīng)理、傳達(dá)任務(wù)和給源代碼的項(xiàng)目經(jīng)理，到使用數(shù)據(jù)的業(yè)務(wù)部門的同事，都沒責(zé)任，法務(wù)/合規(guī)/風(fēng)控看起來更是從未出現(xiàn)。

總體來說，正常經(jīng)營的公司，網(wǎng)絡(luò)爬取數(shù)據(jù)引發(fā)民事糾紛的常見，涉刑的不常見。立項(xiàng)時(shí)多問一句“我們這么做有沒有風(fēng)險(xiǎn)”“會(huì)不會(huì)出事”沒壞處，畢竟看起來是“集體決策”的決策最后往往并不是集體買單！

最后：警鐘長鳴，愿各位珍重，做一個(gè)守法、護(hù)法、有原則的技術(shù)人。

來源：數(shù)據(jù)保護(hù)官

感謝您的閱讀，也歡迎您發(fā)表關(guān)于這篇文章的任何建議，關(guān)注我，技術(shù)不迷茫！小編到你上高速。

    · END ·

最后，關(guān)注公眾號(hào)互聯(lián)網(wǎng)架構(gòu)師，在后臺(tái)回復(fù)：2T，可以獲取我整理的 Java 系列面試題和答案，非常齊全。

正文結(jié)束

推薦閱讀 ↓↓↓

1.心態(tài)崩了！稅前2萬4，到手1萬4，年終獎(jiǎng)扣稅方式1月1日起施行~

2.深圳一普通中學(xué)老師工資單曝光，秒殺程序員，網(wǎng)友：敢問是哪個(gè)學(xué)校畢業(yè)的？

3.從零開始搭建創(chuàng)業(yè)公司后臺(tái)技術(shù)棧

4.程序員一般可以從什么平臺(tái)接私活？

5.清華大學(xué)：2021 元宇宙研究報(bào)告！

6.為什么國內(nèi) 996 干不過國外的 955呢？

7.這封“領(lǐng)導(dǎo)痛批95后下屬”的郵件，句句扎心！

8.15張圖看懂瞎忙和高效的區(qū)別！