日前,广东深圳市南山区法院对首例利用共享单车APP漏洞盗窃他人财物的案件进行一审宣判,两被告杨某和吴某分别被判有期徒刑6个月和拘役4个月,并均处罚金1000元。
该案两名被告人通过网络相识。一次偶然机会,杨某得知可以利用软件修改某共享单车APP用户信息,将用户共享单车账户内的余额押金退到自己掌握的微信账户上,遂将这一信息和操作方法告诉了吴某。
据了解,某些共享单车企业在APP中设置了“领养单车”项目——让用户“领养”单车,在其他用户使用到“领养单车”时,“领养人”可以获取收益。吴某发现,除了能退回余额押金外,“领养单车”也有“利”可图——可以将账户内的“领养单车”收益退到自己掌握的账户上。吴某又将这一信息反馈给了杨某。
从2017年4月份开始,杨某和吴某俩人利用上述方式,多次将该共享单车公司用户账户内的余额、押金以及“领养单车”收益转到自己的微信账户上,吴某分22次共盗窃16810.6元,杨某分12次共盗窃3535元。直到该共享单车公司接到用户反馈,称账户内的共享收益变少,公司通过核查才发现有人利用系统漏洞登录用户账户,遂向公安机关报案,随后两名被告人被抓获。
据悉,这是深圳宣判的首例利用手机APP漏洞盗窃用户账户余额和收益案。法官表示,由于电子账户的资金与一般意义上的财产无异,偷盗电子账户也属涉嫌盗窃罪。法官还提醒广大市民,在享受共享单车带来低碳、环保、便利的同时,也必须遵守法律、法规,否则也要承担相应的责任。恶意破坏、毁弃、盗窃共享单车,或者窃取相关收益、押金的行为都是违法行为,都将受到法律的制裁。
君凯律师事务所律师刘文君认为,此类案件属于利用网络漏洞侵占他人财产的盗窃犯罪案件,主观上具备非法占有他人财物的故意,客观上利用共享单车APP软件漏洞秘密窃取他人网络账户内的合法财产并非法占有,符合盗窃犯罪的构成要件。“盗窃犯罪的一个重要行为特征是‘秘密窃取’,该案表面上属于互联网领域的新型犯罪,实质上行为人借助其专业能力利用他人产品缺陷实施了盗窃行为,就像发现他人家门没有上锁而秘密入室窃取他人财物一样,与传统盗窃案件相比只是手段不同,但在本质上没有区别。”刘文君说,“对于此类案件的防范,必须从技术层面提升产品的保密性,堵住技术漏洞,保护客户利益不被侵犯”。
补天漏洞响应平台安全专家葛珅认为,该案所涉犯罪事实是典型的黑客攻击行为,黑客利用企业开发程序中存在的漏洞,有目的地实施攻击,篡改平台上的用户信息,并从中非法获利。“企业应当注重技术防范,加大网络安全投入,从而在事前预防这类黑客攻击发生,将损失降至最低。”葛珅说。