4月11日,浙江餘姚人民檢察院發佈消息,利用支付寶掃碼領紅包的程序漏洞,犯罪嫌疑人陳某通過非法編寫的計算機程序,獲得紅包消費抵用賞金共計90餘萬元,嫌疑人以破壞計算信息系統罪被批准逮捕。
同時,檢察院還公佈了陳某的作案過程:
2017年12月8日上午,陳某在參加支付寶“賺錢紅包”活動時,偶然發現一個漏洞:在支付寶某個頁面中輸入手機號,系統不加驗證就會以為該手機號綁定的支付寶掃了陳某的推廣二維碼。當這個紅包在線下被使用後,陳某就會收到相應的“賞金”。
陳某利用自己在職高掌握的編程知識,編寫了一段程序,窮舉生成手機號,在這個頁面輸入,這樣系統就會認為陳某輸入的這些手機號掃碼領了他的紅包,消費後,支付寶會給與相應的賞金獎勵。
利用這段程序,陳某在短短2天內,獲得90餘萬賞金。
支付寶在數據異常後,人工核查有關賬目,向警方報案。2018年1月2日,陳某被餘姚市公安局抓獲。
網友困惑:這種行為真的犯法嗎?
黑奇士在多家媒體相關新聞的評論中看到,不少網友對此案例表示了困惑:
陳某沒有入侵支付寶系統,只是發現了支付寶紅包活動的有關規則漏洞,這也違法了?
餘姚市檢察院的消息中透露,陳某被起訴的罪名是“破壞計算信息系統罪”。根據刑法規定,“違反國家規定,對計算機信息系統功能進行刪除、修改、增加、干擾,造成計算機信息系統不能正常運行”,才能構成本罪。
從檢察院描述的作案過程來看,陳某的行為並沒有對支付寶系統進行“刪除、修改、增加”,勉強能算的上“干擾”。
但刑法規定的“干擾”,通常指的是系統運行性能的降低、功能的改變,而陳某這種利用規則漏洞來騙取賞金的行為,算不算“干擾”,還有待商榷。
早有先例:支付寶被薅羊毛 封停800異常賬戶
事實上,自從11月15日,支付寶的“賺錢紅包”活動上線以來,許多人運用各種方法來獲取紅包收益:
最容易操作的套路,就是夫妻、兄弟姐妹等家庭成員相互掃描各自紅包,每天賺取一兩塊的收益,聊勝於無;
再高級點的玩法:把紅包二維碼打印出來,在商場、超市等人群密集的地方分發,一開始每天能賺幾百上千元。不過這種方法初期有效,後來大家都知道了這個活動,商場都在各個地方貼了自己的二維碼,效果就沒了。
各種高級的技術玩法:有人用短信群發器,每天發送幾十萬條紅包短信;有人用電信劫持、有人用客戶端劫持,更惡劣的甚至用色情網站自動推送紅包。
用這個活動賺了大錢的人,基本上都是各種流量變現的玩法。
12月18日,螞蟻金服在接受媒體採訪時表示,“禁止使用濫發短信等破壞用戶體驗的方式進行推廣”。並且,已有800餘個異常賬戶已被封停,但沒有說明封停賬戶使用的具體手段為何。
12月底,各種薅支付寶羊毛的新聞被炒的沸沸揚揚,幾十萬、上百萬的紅包截圖隨處可見。
可外界不知道的是,就在不久之後的1月2日,陳某鋃鐺入獄。
黑產:莫伸手,伸手必被捉
雖然我在前文裡寫,抓陳某多少顯得有點“冤枉”,法律依據並不太充足。
但並不代表我贊成這種行為。
因為我做安全自媒體,總有網友在群裡說,“黑哥,帶我們薅羊毛吧,咱們只做灰的”
我總是馬上懟回去:你真的知道界限在哪裡嗎?就算你現在知道界限在哪,等你拿到五十萬、一百萬的時候,還有把握不越界嗎?
以陳某為例,其實他還是有剋制的,18日發現漏洞,兩天賺了90萬就收手(20號,好多人還不知道這個活動呢),這說明他還是有基本的認知,知道自己做這個不對。
但,他忍不住,又給自己的兄弟用了這個程序,非法賺了20多萬。
雖然,現在互聯網的發展速度超出了法律的完善速度,不少違法行為並沒有十分明確的法律規定,但暫時不違法並不代表你永遠能在刀尖上跳舞。
以支付寶這樣的公司,完全可以在某個案例上投入巨大的人力、物力、財力,組織龐大的律師團隊在所有的法律環節上找你的漏洞。
記得看過一個美劇,裡面有句話我很認同:法律是公正的,但有錢人的法律總歸會更加公正。
對於某些心裡有想法的兄弟,我只有一個建議:莫伸手,伸手必被捉。
閱讀更多 黑奇士 的文章