位于鳥巢附近的京東商城北京總部。雖然安全漏洞事件對京東的聲譽(yù)造成了一定的影響,但似乎并未影響到京東商城的業(yè)務(wù)。
2011年底,中國互聯(lián)網(wǎng)迎來最大一次信息泄密事件,1億多條用戶個(gè)人信息被“黑客”獲取,它們附帶的價(jià)值超過百億元。
在這樣的大浪潮中,陜西咸陽一名互聯(lián)網(wǎng)技術(shù)人員發(fā)現(xiàn)了京東商城的一個(gè)安全漏洞,并索要240萬元?jiǎng)趧?wù)費(fèi),后被警方控制。
在充滿機(jī)會(huì)的互聯(lián)網(wǎng)上,卻也在誕生著罪惡,但至今沒有一則立法能規(guī)范企業(yè)的責(zé)任和保護(hù)個(gè)人的安全,那么,互聯(lián)網(wǎng)安全應(yīng)如何去維護(hù)呢?
當(dāng)賈偉(化名)離開看守所的時(shí)候,他不確定自己到底身犯何罪。
2011年12月30日,賈偉在陜西咸陽一家制藥廠被警方帶走,他的老父親顫顫巍巍地在北京朝陽警方的拘留證上簽了字,然后失眠了整整一個(gè)月。
這起事件與中國電子商務(wù)(B2C)龍頭老大之一的京東商城有關(guān),源自2011年年末的一次互聯(lián)網(wǎng)用戶信息大泄密事件,當(dāng)時(shí)天涯社區(qū)、技術(shù)開發(fā)網(wǎng)站CSDN、垂直游戲門戶多玩網(wǎng)、婚嫁交友網(wǎng)站珍愛網(wǎng)等多家網(wǎng)站用戶資料被泄露,因涉及人數(shù)過億,被業(yè)內(nèi)人士稱之為“脫褲門”(指網(wǎng)站用戶賬號(hào)密碼等被泄露,個(gè)人信息“裸奔”),而京東商城也沒有幸免。
漏洞的發(fā)現(xiàn)者正是賈偉,一個(gè)常年混跡于互聯(lián)網(wǎng)江湖的咸陽籍技術(shù)高手,他以此為價(jià)碼要求京東商城支付240萬元,作為給京東商城修復(fù)漏洞的勞務(wù)費(fèi)。
12月28日,京東商城以網(wǎng)絡(luò)被入侵并被“敲詐勒索”為由,向北京朝陽區(qū)公安局報(bào)警,警方?jīng)Q定拘留犯罪嫌疑人賈偉。他也成為這起大泄密事件中唯一被追責(zé)的陜西“黑客”。
一個(gè)被“價(jià)值”240萬元的技術(shù)漏洞
現(xiàn)年35歲的賈偉是陜西咸陽人,早前曾“北漂”多年,在互聯(lián)網(wǎng)業(yè)界小有名氣,常用網(wǎng)名叫“我心飛翔”。
2011年4月,賈偉在京東商城網(wǎng)上購物時(shí),無意間發(fā)現(xiàn)了京東商城的“后門”(技術(shù)漏洞),經(jīng)驗(yàn)證他發(fā)現(xiàn),此漏洞可獲取京東商城所有客戶賬號(hào)和密碼及個(gè)人信息,隨即,賈偉將這一漏洞反饋給京東商城技術(shù)人員。京東商城一位技術(shù)人員“魚蛋”隨即主動(dòng)聯(lián)系賈詢問漏洞,并表示將在第一時(shí)間內(nèi)修復(fù)。
賈偉稱,這一漏洞京東商城并未完全修復(fù)。由于自己長期在京東商城購物,也幫助公司和朋友在京東購物,作為“大客戶”,出于自身安全考慮,在此后8個(gè)月,賈偉每天登錄京東商城兩次,查看漏洞是否被徹底修復(fù),然而京東商城一直未做實(shí)質(zhì)性的改變。
去年12月26日,賈偉與京東商城技術(shù)人員再次QQ聯(lián)系,并告知還存在泄密漏洞,而京東技術(shù)人員徹查仍未發(fā)現(xiàn),賈偉遂提出自己可以幫忙修復(fù)漏洞,但需要對方支付技術(shù)支持費(fèi)用。該技術(shù)人員表示,可以聘請賈為商城高級技術(shù)顧問。賈偉則提出按4月到12月31日區(qū)間計(jì)算,每天要1萬元薪酬,但被京東技術(shù)人員以“太高了,需要請示”為由婉拒。12月27日,賈偉遂把自己發(fā)現(xiàn)的漏洞發(fā)布在了中立的安全問題反饋及發(fā)布平臺(tái)烏云網(wǎng)(除事主外,其他用戶只能看到該漏洞造成的危害,并不能直接看見是何漏洞),由于京東商城是電子商務(wù)網(wǎng)站,不僅涉及到用戶的個(gè)人資料,并且牽扯到巨大的資金運(yùn)轉(zhuǎn)。
一石激起千層浪,京東的這次泄密事件被北京衛(wèi)視、東方衛(wèi)視、《財(cái)經(jīng)》雜志、新京報(bào)等多家媒體報(bào)道,迫于壓力,當(dāng)日下午,京東商城主管技術(shù)的副總裁李大學(xué)直接通過網(wǎng)絡(luò)聯(lián)系賈偉,商談善后事宜。
在賈偉和李大學(xué)幾度交鋒后,京東商城驗(yàn)證了自己存在的漏洞,并在烏云網(wǎng)上以官方身份進(jìn)行了漏洞確認(rèn)。
但盡管如此,京東商城內(nèi)部技術(shù)人員還是無法確認(rèn)具體的漏洞所在。最終,賈偉表示只要聘請自己為高級技術(shù)顧問,并支付上述合計(jì)約240萬元?jiǎng)趧?wù)費(fèi),自己將為京東商城修復(fù)該漏洞。
也就是這一舉動(dòng),賈被京東商城視為在赤裸裸地敲詐勒索,并因?yàn)橛脩粜畔烀媾R被“竊取”威脅,京東商城選擇了報(bào)警。12月30日,賈偉被咸陽警方控制,隨后被移交北京警方。
是敲詐勒索還是一個(gè)玩笑?
面對警方,賈偉很詫異:這只是一個(gè)玩笑而已,難道真的犯法了嗎?
事發(fā)后,賈妻張梅(化名)積極奔走,穿梭于北京和西安兩地。張告訴華商報(bào)記者:“我老公當(dāng)時(shí)只是覺得京東商城太不顧用戶權(quán)益了,很生氣,所以才開了這么個(gè)玩笑。要是真圖錢,早把京東商城的用戶信息賣了,不會(huì)坐下來跟京東談。”
而根據(jù)賈偉和李大學(xué)的聊天記錄,賈確實(shí)暗示李大學(xué),曾有人想從自己手里購買京東的數(shù)據(jù),但他以“不做違法的事”為由,拒絕了買家。
“他說是說,但并沒有把銀行卡號(hào)告知京東人員,根本就沒有交易,怎么能算是敲詐勒索呢?”張梅問。
2012年1月4日前后,張梅和家人前往京東商城位于北京鳥巢附近的總部,要求面見李大學(xué)或更高層負(fù)責(zé)人和解此事,讓警方放人。但在等待30分鐘后,等來的卻是兩名朝陽分局的公安人員。“答應(yīng)了要見我們,然后卻自己報(bào)警,說我們擾亂他們正常營業(yè),可我們什么都沒做啊,這樣的企業(yè)誠信何在?”張梅說。
在張梅看來,京東商城負(fù)責(zé)人和賈偉的聊天充滿著“誘導(dǎo)”,如聘請賈為京東商城高級技術(shù)顧問,這是京東首先提出來的;而2011年12月28日報(bào)警后,李大學(xué)和賈偉還在溝通費(fèi)用問題,并索要銀行賬號(hào)密碼,張梅不能理解為什么。