1.6万多个企业单位邮箱的管理员权限,被发现一夜之间遭窃取。
“热爱”黑客技术的某公司安全测试工程师王某,利用北京二六三企业通信有限公司(以下简称263公司)网络系统的漏洞侵入其服务器。据他交代,通过程序批量登录企业邮箱并导出通讯录,263公司所有企业邮箱用户的通讯录资料均被他窃取。
记者从263公司了解到,该公司的客户包括众多知名企业,以及保监会、北京市地方税务局等政府机关。
王某因非法获取计算机信息系统数据被昌平区检察院公诉至昌平区法院后,日前被判处有期徒刑3年,缓刑5年,并处罚金6000元。
事发 “永不泄密”的邮箱 一夜被破
263公司是一家为企业用户提供通信服务的企业,企业邮箱服务是其主要业务。
其官网上宣称,该公司在企业邮箱方面“专注15年,市场占有率第一”,“数据永不泄密”,是“中国企业第一品牌”。
但记者从政法机关了解到,2013年8月10日,263公司遇到一件囧事。进行例行的网络安全检查时,公司技术员发现服务器遭黑客入侵。
10日0时至5时,黑客获取了16208个企业的管理员权限。每个管理员权限,对应的是这家企业的所有员工个人邮箱、单位部门信箱等,黑客窃取了相应的邮箱通讯录。
除此之外,黑客还采用暴力破解手段,破解了2个用户的邮箱密码,并修改了其中一个邮箱的密码。
数日后,263公司向北京市公安局昌平分局网络安全保卫大队报案。
过程 “要不是我,他们还意识不到漏洞”
公安部门经过对侵入电脑IP地址进行查询,发现某公司高级网络安全测试工程师王某有重大作案嫌疑。经讯问,王某交代了作案动机和经过。
王某是计算机专业出身,非常“热爱”黑客的攻防技术知识。
他告诉民警,2013年8月9日上午11点,他在国外web服务器开源组织“阿帕奇”的官网上,看到其公开的远程命令执行漏洞“struct”。8月份,很多网站都爆出漏洞。
“我们公司是263企业邮箱的使用者,所以我的第一反应是去测试263企业邮箱是否第一时间修复了这个漏洞。”王某说。
当天,王某自己编写脚本文件对263公司的服务器进行扫描,发现263公司存在“struct”漏洞。
王某说,发现263的问题他很吃惊。“因为263是知名厂商。我在乌云漏洞平台发现,之前几天有人给263公司提交了这个安全问题,但公司忽略了。我就想,厂商安全意识不足,要不是我最终利用这个漏洞进入到后台系统,厂商可能还意识不到这能带来多大的危害。”
“1.6万企业邮箱通讯录,我全有”
王某说,之后,他在网上下载用于远程登录的可执行文件sever.jsp,利用技术手段下载了263公司web服务器的用户权限文件并进行修改,加入了可以访问任何用户的“超级密码”——“youwilldie”,下班前上传到263服务器。
“利用超级密码,可以进入每个企业用户的管理员系统,而通过管理员系统就能更改其下属员工的邮箱密码,这样也能进入企业员工的邮箱,看到邮箱内容。” 王某说。
[page]
晚上6点多,王某下班回家。他说,当天晚上8点多,他在家用电脑上编写脚本文件,从263公司的服务器日志中解析出所有263邮箱企业用户的邮箱名,批量登录企业邮箱并导出其通讯录。
他向民警交代:“到10日5时许程序运行结束,所有1.6万多家企业用户的邮箱通讯录都已经导到我的电脑上,有近60兆。”
8月12日晚上,王某在家篡改了263企业邮箱用户“人人贷”的几个员工的邮箱密码。随后登录了这些邮箱,查看了邮箱里的邮件。
“没有外传,就想炫耀我的技术”
王某称,企业邮箱通讯录里还有大量的公民个人信息和企业信息,部分邮箱通讯录里还有员工个人联系电话,如果利用通讯录对企业内的邮箱密码进行破解,还可以获知大量的企业交易信息和数据。
“这些数据可以用于传播木马或进行诈骗,网上,有人就在买卖那种企业邮箱通讯录。”
但王某向警方表示,这些企业邮箱通讯录一直保留其电脑里,自己没有给过任何人。
据他称,自己是为了炫耀计算机水平。他把获取通讯录的每个步骤都做了截图,发给同事以及在QQ群里炫耀。
但王某的同事根本不相信。他的同事小陈证实,王某确实向他说过入侵了263网站的事,不过,“我当时觉得他在吹牛,没当回事”。
重罚 情节特别严重 当庭判刑
王某被抓后说,“我想如果客户知道263公司的邮箱不安全,公司的信任度会下降,可能会损失客户。”
在开庭审理过程中,王某对公诉机关指控的犯罪事实及定性无异议,表示自愿认罪。
法院审理后认为,王某侵入企业计算机信息系统,非法获取计算机信息系统中存储的数据达1.6万余组,情节特别严重,其行为已构成非法获取计算机信息系统数据罪。
2014年7月30日,法院当庭宣判,王某因非法获取计算机信息系统数据罪,被判处有期徒刑3年,缓刑5年,并处罚金6000元。
追访 263公司发声明 紧急补漏
263产品总监张晓丹表示,绝大部分信息外泄,黑客仅占小部分原因,更多都是企业不够重视,例如不对密码采取任何的加密措施、登录入口未设任何安全门槛等等。
今天上午,263公司市场部一位姓赵的女士告诉《法制晚报》记者,黑客利用的网络漏洞,是普遍存在于多家公司的网络漏洞。
针对该案件,263公司作出声明:犯罪分子利用的是2013年8月大多数网站普遍存在的struts漏洞,经法院查明,用户通讯录信息未被售卖和泄露。
263企业通信及时修补了漏洞,杜绝了安全隐患;为了维护用户权益,承担社会责任,263企业通信协助公安机关定位犯罪分子,迅速破获此案。