某网络安全公司CEO竟利用其所掌握的服务系统漏洞进行盗窃活动,最后被法院判刑!
在讲求个人信息保护与网络安全的今天,不少网络安全概念股迎来一波又一波的浪潮与发展契机。就在这大好前景之下,不经意间,我们看到浙江省杭州市2020年6月份一则判决,一时间,大跌眼镜:某网络安全公司CEO竟利用其所掌握的服务系统漏洞进行盗窃活动,最后被法院判刑!
案件脉络
2019年4月20日,被告人吴某利用某豹科技公司在前期掌握的被害单位某佳公司网络运维后台服务器数据及运作方式,利用其中的漏洞,通过进入某佳公司网络运维后台并创建30个左右的虚拟用户账号的方式,向某佳公司管理并使用的第三方支付账户发起转账请求,运行自制转账程序,向被告人吴某指定的银行卡转账24笔,共计884775.5元。
被告人吴某将部分款项用于比特币等交易,其余部分通过取现、POS机刷卡套现等方式用于转账、还款、发放工资、消费等用途。
法院裁判
被告人吴某以非法占有为目的,利用某佳公司网络运维后台服务器存在的漏洞,客观上通过进入该后台并创建虚拟用户账号、运行自制转账程序向某佳公司管理并使用的众唐公司易宝支付账户发起转账申请等秘密方式,窃取众唐公司易宝支付账户内的款项,符合盗窃罪的构成要件。
且吴某窃取公私财物,数额特别巨大。故法院依法判处吴某有期徒刑十二年,并处罚金人民币300000元。
案件评价
我们以为以上是普通的盗窃案,但看到吴某的履历,我们惊呆了!
在“安全学习那些事儿”公众号中,我们了解到吴某虽只有初中文化,但其作为网络尖刀安全团队的创始人之一,一次又一次在网络安全领域展现出高超的技术实力。
网络尖刀团队成员的互联网累计漏洞提交总数已超过100000+,因报告有价值的安全问题而获得厂商致谢六百余次。网络尖刀团队逐渐成为了业界知名的民间非企运营互联网安全组织,出现一大批优秀的网络安全从业者,而吴某是其中最优秀的那批。
后吴某创建了某豹科技有限公司,主要业务是从完整的攻防角度逆向分析,为运营商、银行、互联网、电商等企事业单位提供网络安全服务,包括完整的黑灰产画像、高效精准的情报分析和智能专业的解决方案。某佳公司的后台漏洞及资金情况,也是其在业务开展中得以获取的。
顿时行业从业者哗然。痛定思痛后,拿什么拯救你,我的网络与数据安全?
虽不能彻底避免行业从业者的道德风险,但我们仍想尽全力帮助客户及客户信息网络安全带上保护罩。由此,我们能想到的是等保2.0。我们都知道计算机信息系统实行安全等级保护制度。2019年12月1日网络安全等级保护2.0国家标准的正式实施,我国网络安全等级保护制度进入了全新时代。
《信息安全等级保护管理办法》、《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)等对计算机信息系统安全保护等级及具体参数予以明确。《信息安全等级保护管理办法》第七条规定,“信息系统的安全保护等级分为以下五级:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益;
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全;
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害;
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害;
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害” 。
如此,不同的信息网络系统因为其承载的信息内容不同,需要达到不同的等级序列。《信息安全技术 网络安全等级保护定级指南》(GB/T 22240)第4.2条也指出“信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度”。
对此,读者朋友还请自查,自家网络系统安全是否达标了呢?
此外,我们依据《信息安全技术网络安全等级保护测评过程指南》(GB/T 28449-2018)绘制如下表格,以供有测评需求的读者朋友作进一步参考。
作者/肖飒法律团队
