利用高校教務系統漏洞取得管理員許可權,遠端幫助在校學生修改考試成績並收取酬勞,四川某高校大四畢業生自以為找到了一條生財之路,卻因此葬送了自己的前程。近日,經四川省崇州市檢察院提起公訴,閆傳彬因犯破壞電腦資訊系統罪被法院判處有期徒刑五年。
多人要求取消重修,教務處老師發現貓兒膩
“是崇州市公安局嗎?有人入侵了我們學校的教務系統……”2016年5月11日,四川省某職業技術學院教務處老師成靜(化名)向崇州市公安局報警。
自2016年2月起,陸續有學生找到成靜,聲稱自己因粗心看錯成績誤報了重修,要求取消重修。剛開始人數不多,並沒有引起成靜的重視。到了5月,以同樣理由要求取消重修的學生陡然增多,引起了成靜的懷疑。
帶著疑問,成靜將教務系統中的成績與線下成績做了對比,發現至少有十余名學生的成績在系統中作了修改,但是相關科任老師並未提出修改申請。經過分析,成靜懷疑有人入侵了學校的教務系統並篡改了成績。通過做學生的思想工作,一名學生承認了出錢在網上找人幫忙修改成績的事實。成靜隨即報警。
警方順藤摸瓜,挖出背後“駭客”
警方在學校的幫助下,找到了十余名修改成績的學生,並從他們的QQ聊天記錄中迅速鎖定了一個網名為“東瑜”的人。由於此人在聊天過程中使用的均是代理伺服器,無法鎖定其真實IP地址,警方於是把偵查重點放在了調查資金流向上。
偵查人員發現,每次改分成功後,“東瑜”都會要求學生把錢打入一個用戶名為李某的支付寶賬戶,隨後該筆資金又被轉入一個用戶名為閆傳彬的支付寶賬戶,並通過閆傳彬的銀行卡取現。偵查人員分析,李某的支付寶賬號很可能是個“馬甲”,犯罪嫌疑人的真實身份就是閆傳彬。
經查,閆傳彬係四川某高校電腦專業的大四學生,在成都某軟體公司實習。種種跡象表明,閆傳彬很有可能就是遠端入侵系統的“駭客”。2016年6月29日,閆傳彬落網,並很快交代了全部作案經過。
參加網路安全大賽,偶然發現系統漏洞
閆傳彬出生於四川達州的一個小山村,父母均為本分的農民。由於學習電腦很有天分也很努力,他在大一的時候就基本自學完成了本科階段的所有電腦課程,並多次獲得省裏及全國電腦比賽大獎,大三時就已經是高級軟體開發工程師了。
2015年7月,閆傳彬接到了一個關於網路安全比賽的邀請。賽訓期間,他對所就讀的學校教務網站進行掃描時,偶然間發現該網站所使用的教務管理系統存在漏洞。
在好奇心的驅動下,閆傳彬通過系統漏洞下載了學校教務系統數據庫中的數據,並用自製的小工具輕而易舉地破譯了密碼,取得了系統管理員許可權。
為獲取更多的數據樣本撰寫修復漏洞報告,閆傳彬對四川某職業技術學院、西安某學院等十余所高校的教務系統進行了同樣的操作,並獲取了管理員許可權,而這十余所高校使用的都是同樣的教務管理系統。
臨近畢業生活拮據,篡改考試成績獲取非法利益
2016年初,臨近畢業的閆傳彬來到成都某知名軟體公司實習。由於生活成本陡然增高,而實習工資卻少得可憐,在生活的壓力下,閆傳彬想到了那個存在漏洞的高校教務系統。
“有沒有挂科的同學需要改成績?想改成績的同學私聊。”2016年2月起,閆傳彬在四川某職業技術學院等十余所高校的貼吧、QQ群裏發出改成績的帖子。很快,一名學生就回應了。最終,閆傳彬以每科300元的價格幫該學生把3科不及格的成績改成了及格。為逃避監管,閆傳彬在網上購買了一個用戶名為李某的支付寶賬號,讓對方把錢打入這個賬號後,再把錢轉入到自己的支付寶賬戶套現。
後來,想修改成績的人越來越多。在金錢的刺激下,閆傳彬把法律法規拋在腦後,叫價也肆無忌憚。後據警方統計,僅在四川某職業技術學院,閆傳彬就非法幫助24名學生在教務系統中修改成績。經過對用戶名為李某的支付寶賬號進行鑒定,閆傳彬的非法所得數額為4.8萬餘元。
被抓後悔不當初,多次痛哭流涕
“尊敬的法官、檢察官,我對自己犯下的罪行感到非常自責和愧疚……”在法庭最後陳述環節,閆傳彬痛哭流涕。
“這不是閆傳彬被抓後第一次哭。”本案的公訴人朱正冬介紹説,“案件到了檢察機關後,我去看守所看了他幾次,幾乎每次他都哭著説自己很後悔。非常優秀的大學生,本來應該在電腦領域有所作為的。”為閆傳彬感到惋惜的不僅是檢察官,他所在的軟體公司和所就讀的大學均認為閆傳彬是一個不可多得的技術人才。本案的被害方、四川某職業技術學院也向司法機關建議給予閆傳彬從輕處理。閆傳彬的父母在得知案情後,竭力湊了3萬餘元退還給了涉案學生。
“閆傳彬對高校電腦資訊系統中的數據進行篡改獲利4.8萬元,達到了後果特別嚴重的標準,應當被判處五年以上有期徒刑。但是鋻於他係初犯,到案後認罪態度好、有悔罪表現等情節,法官依照最低的量刑標準對他作出了判決。”朱正冬解釋説。(傅鑒 鐘會兵 韓婷)