“1.6万企业邮箱通讯录,我全有”
王某说,之后,他在网上下载用于远程登录的可执行文件sever.jsp,利用技术手段下载了263公司web服务器的用户权限文件并进行修改,加入了可以访问任何用户的“超级密码”——“youwilldie”,下班前上传到263服务器。
“利用超级密码,可以进入每个企业用户的管理员系统,而通过管理员系统就能更改其下属员工的邮箱密码,这样也能进入企业员工的邮箱,看到邮箱内容。” 王某说。
晚上6点多,王某下班回家。他说,当天晚上8点多,他在家用电脑上编写脚本文件,从263公司的服务器日志中解析出所有263邮箱企业用户的邮箱名,批量登录企业邮箱并导出其通讯录。
他向民警交代:“到10日5时许程序运行结束,所有1.6万多家企业用户的邮箱通讯录都已经导到我的电脑上,有近60兆。”
8月12日晚上,王某在家篡改了263企业邮箱用户“人人贷”的几个员工的邮箱密码。随后登录了这些邮箱,查看了邮箱里的邮件。
“没有外传,就想炫耀我的技术”
王某称,企业邮箱通讯录里还有大量的公民个人信息和企业信息,部分邮箱通讯录里还有员工个人联系电话,如果利用通讯录对企业内的邮箱密码进行破解,还可以获知大量的企业交易信息和数据。
“这些数据可以用于传播木马或进行诈骗,网上,有人就在买卖那种企业邮箱通讯录。”
但王某向警方表示,这些企业邮箱通讯录一直保留其电脑里,自己没有给过任何人。
据他称,自己是为了炫耀计算机水平。他把获取通讯录的每个步骤都做了截图,发给同事以及在QQ群里炫耀。
但王某的同事根本不相信。他的同事小陈证实,王某确实向他说过入侵了263网站的事,不过,“我当时觉得他在吹牛,没当回事”。
重罚 情节特别严重 当庭判刑
王某被抓后说,“我想如果客户知道263公司的邮箱不安全,公司的信任度会下降,可能会损失客户。”
在开庭审理过程中,王某对公诉机关指控的犯罪事实及定性无异议,表示自愿认罪。
法院审理后认为,王某侵入企业计算机信息系统,非法获取计算机信息系统中存储的数据达1.6万余组,情节特别严重,其行为已构成非法获取计算机信息系统数据罪。
2014年7月30日,法院当庭宣判,王某因非法获取计算机信息系统数据罪,被判处有期徒刑3年,缓刑5年,并处罚金6000元。
追访 263公司发声明 紧急补漏
263产品总监张晓丹表示,绝大部分信息外泄,黑客仅占小部分原因,更多都是企业不够重视,例如不对密码采取任何的加密措施、登录入口未设任何安全门槛等等。
今天上午,263公司市场部一位姓赵的女士告诉《法制晚报》记者,黑客利用的网络漏洞,是普遍存在于多家公司的网络漏洞。
针对该案件,263公司作出声明:犯罪分子利用的是2013年8月大多数网站普遍存在的struts漏洞,经法院查明,用户通讯录信息未被售卖和泄露。
263企业通信及时修补了漏洞,杜绝了安全隐患;为了维护用户权益,承担社会责任,263企业通信协助公安机关定位犯罪分子,迅速破获此案。
