前程序员利用漏洞,每月非法获取老东家多则20余万条客户信息被批捕

日前,上海市松江区人民检察院就审查批捕了一起离职程序员利用漏洞非法获取老东家计算机信息系统数据的案件。

犯罪嫌疑人李飞是一名程序员,2018年8月之前,他就职于申迪文化传播有限公司,担任软件开发主管。申迪公司是一家短信验证码通道提供商,主营短信验证码、物流提醒等业务,与许多手机应用运营商、企业单位有合作关系,因此,该公司的用户数据库十分庞大。

但是,如此庞大的数据库并没有得到严密的防护,作为公司业务系统的开发者,李飞对东家的安全漏洞一清二楚:只要知道相关的URL地址,就可以下载所有客户数据。由于申迪的业务性质,该公司的数据中就包含客户手机号码。具有多年从业经验的李飞深知这些敏感信息的商用价值,于是他早就留心记下了漏洞URL地址,以防不时之需。

果然不出他所料,这些客户信息很快就有了用武之地,2018年4月,李飞的两个前同事章航和杨明远突然来电,有偿邀请李飞为他们的新东家富川公司开发一款网络贷款超市系统。该系统为小额贷款公司提供平台,只要有人通过该平台注册了其中一家或几家贷款公司账户,这些公司就会给富川公司10-15元的返佣。后来,李飞利用业余时间为富川开发了这款系统,在此期间他也与富川公司老板黄齐、出资人周海逐渐熟络。

贷款超市系统成型后,有十余家小额贷款公司入驻,为了获取更多流量,让更多人进入该系统,黄齐想方设法做业务推广。对于流量的巨大需求也正是章航、杨明远向老板推荐老同事李飞的一大原因,申迪背后的海量数据库就是他们的目标。

在询问李飞是否能够提供申迪公司的客户数据并得到同意回复后,黄齐正式向他抛出橄榄枝并口头答应给他20%的公司股份。2018年8月,李飞从申迪公司离职,以技术入股的形式进入富川公司工作,自此走上了违法犯罪的道路。

进入新公司后,李飞更加“用心”工作,及时兑现了提供客户数据的承诺,利用保存已久的漏洞地址偷偷下载申迪的客户数据,再上传至专门的网盘,供富川公司人员随时取用。老板黄齐每周会不定期查看网盘,亲自将数据过滤,只留下客户的手机号码并按地区进行归类。

据犯罪嫌疑人章航的供述,网贷超市系统上线3个月以来,作为业务推广员的他和杨明远每月会多次打开网盘下载经过筛选的数据,多则20余万条,少则1-2万条,然后根据手机号码数据群发广告短信,推广网贷超市,效果显著。

另外,其本人还负责富川公司工资发放和利润分成,拥有股份的黄齐、周海、李飞、章航、杨明远除每月固定工资外,每人都至少分得了2万余元分红。

直至2018年10月,这个犯罪团伙的罪行才被揭露。一个访客通过申迪公司的在线客服系统匿名举报离职人员李飞、章航、杨明远利用技术手段非法获取公司客户数据以谋私利。随后,申迪公司对上述情况进行核查,发现确有入侵痕迹,遂向警方报案。

近日,上海市松江区人民检察院对李飞等5名犯罪嫌疑人以非法获取计算机信息系统罪依法批准逮捕。

(文中人名、企业名称皆为化名)

来源:周到上海       作者:佟继萍 顾承骁