从实务案例看撞库获取账号密码的刑事法律风险
撞库是黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登录的用户。很多用户在不同网站使用的是相同的帐号密码,因此黑客可以通过获取用户在A网站的账户从而尝试登录B网址,这就可以理解为撞库攻击。
在实施撞库攻击前,行为人需要获得撞库软件和包含大量账号密码的数据库,再将数据导入到撞库软件,通过撞库软件对目标网站进行撞库攻击,从而获取到真实有效的账号密码。在上述过程中,涉及的人员通常有提供撞库软件者和撞库软件使用者。
然而,根据当前法律法规,提供撞库软件、利用撞库软件获取账号密码行为涉嫌犯罪,本文将对上述人员进行刑事法律分析。从司法实践来看,可能涉嫌以下几个罪名:非法获取计算机信息系统数据罪、侵犯公民个人信息罪、提供侵入计算机信息系统程序罪。
具体情形如下:
一、出售、提供撞库软件供他人获取账号密码涉嫌提供侵入计算机信息系统程序罪。
案例:检例第68号
【裁判要旨】:为他人提供专门用于侵入计算机信息系统的程序,构成提供侵入计算机信息系统程序罪; 对有证据证明用途单一,只能用于侵入计算机信息系统的程序,司法机关可依法认定为“专门用于侵入计算机信息系统的程序”;难以确定的,应当委托专门部门或司法鉴定机构作出检验或鉴定。
【案情简介】:2015年1月,被告人叶某编写了用于批量登录某电商平台账户的“小黄伞”撞库软件(“撞库”是指黑客通过收集已泄露的用户信息,利用账户使用者相同的注册习惯,如相同的用户名和密码,尝试批量登陆其他网站,从而非法获取可登录用户信息的行为)供他人免费使用。“小黄伞”撞库软件运行时,配合使用叶某编写的打码软件(“打码”是指利用人工大量输入验证码的行为)可以完成撞库过程中对大量验证码的识别。叶某通过网络向他人有偿提供打码软件的验证码识别服务,同时将其中的人工输入验证码任务交由被告人张剑秋完成,并向其支付费用。
【判决结果】:叶某犯提供侵入计算机信息系统程序罪,判处三年有期徒刑,适用缓刑,并处罚金。
二、 利用撞库软件获取账号密码涉嫌非法获取计算机信息系统数据罪。
案例一:朱某非法获取计算机信息系统数据案
【裁判要旨】:行为人使用从网络下载的账号和密码数据包,利用扫描软件,对计算机系统进行登录尝试,从而获取正确账号和密码的行为,既违反《全国人大常委会关于维护互联网安全的决定》第三条第(三)项“利用互联网侵犯他人知识产权”和第四条第(二)项“非法截获他人其他数据资料”的规定,又违反了《中华人民共和国计算机信息系统安全保护条例》第七条“任何组织或个人,不得利用计算机信息系统从事危害国家利益、集体利益和公民合法利益的活动,不得危害计算机信息系统的安全”的规定,属于违法国家规定的情形。同时,如此大量的账号和密码,个人用户是无法通过正常的注册登记程序取得的,现有证据不能证实上述被告人获得的30万余组账号及密码事先已经泄漏;即使存在事先泄漏的情形,被告人通过扫描系统自动进行大批量自动登录尝试并成功筛选出正确的账号及密码,其行为已经造成了UC系统的登录异常和账户交易异常,也就是说,被告人通过非正常的技术手段取得这些账号和密码,其行为仍应属于通过侵入UC系统进而非法获取该系统存储、处理或传输的数据。因此,行为人上述手段符合非法获取计算机信息系统数据罪的犯罪构成。
【案情简介】:2013年10月初,被告人朱某从网上下载针对广州市XX有限公司(以下简称XX公司)UC系统的扫描程序,并于同年10月8日至18日期间,将其于2012年年底事先从网上下载的含有大量UC系统账户密码的数据包中的数据导入该程序进行扫描,对XX公司UC系统进行了1800万余次用户登录尝试攻击,非法获取XX公司UC系统用户账号及密码30万余组,非法登录部分账户后获取XX公司UC系统账户内U点。
【判决结果】:被告人朱某犯非法获取计算机信息系统数据罪,判处有期徒刑三年三个月,并处罚金人民币4000元。
案例二:姚某等人非法获取计算机信息系统数据案
【裁判要旨】:“撞库”行为属于我国《刑法》第二百八十五条第二款规定的“其他技术手段”。上诉人姚某等人利用恶意软件,强行绕过淘宝网安全防护措施,对购买所得上亿个邮箱账号密码进行大规模批量登录验证,获取可以登录淘宝网的账号和密码,系“采用其他技术手段”的非法获取行为,淘宝账号和密码是淘宝网计算机系统中存储的重要信息,也是司法解释规定的“身份认证信息”,以上述手段非法获取淘宝账号密码的行为符合非法获取计算机信息系统数据罪的犯罪构成。
【案情简介】:2015年5~6月至2015年11月间,被告人姚某大批量购进邮箱用户名和密码信息,并租用阿里云、VPS服务器,通过被告人许某编写了“淘宝存不存在”“支付宝存不存在”“淘宝碰密”等软件及“破解UA”程序,并雇佣了被告人钱某、吕某,在被告人姚某位于浙江省桐乡市XX住所,使用上述软件对购进的邮箱用户名和密码信息在淘宝网站上进行批量筛选、测试,非法获取邮箱用户名与密码匹配的淘宝网身份认证信息5800余组。
【判决结果】:姚某犯非法获取计算机信息系统数据罪,判处有期徒刑四年,并处罚金5万元。
三、同时提供、出售和使用撞库软件获取账号密码既涉嫌提供侵入计算机信息系统程序罪,又涉嫌非法获取计算机信息系统数据罪。
案例:顾某非法获取计算机信息系统数据、提供侵入计算机信息系统的程序案
【裁判要旨】:被告人顾某违反国家规定,采用技术手段获取计算机信息系统中储存的数据,情节特别严重,其行为已构成非法获取计算机信息系统数据罪,应予惩处;被告人顾某提供专门用于侵入计算机信息系统的程序,情节特别严重,其行为亦构成提供侵入计算机信息系统的程序罪,应与其所犯非法获取计算机信息系统数据罪并罚。关于辩护人发表的吸收犯的辩护意见,法庭认为,吸收犯的数个犯罪行为之间应具有紧密的联系,而本案中被告人顾某通过“撞库”软件“撞库”非法获取甲公司大量用户身份认证信息的行为与出售“撞库”软件之间的行为并不存在这种紧密联系的关系,故上述行为均应单独评价、数罪并罚
【案情简介】:2015年12月至2016年4月,被告人顾某使用“× ×账号改密”“ × ×扫号机—自用”等专门用于侵入计算机信息系统的程序及包含大量用户名密码的样本数据,对甲公司的计算机信息系统实施“撞库”攻击,非法获取了甲公司储存的用户身份认证信息4674组。在此期间,被告人顾某还将上述专门用于侵入计算机信息系统的程序通过QQ群、网站等出售给他人,违法所得共计人民币31000元。
【判决结果】:顾汶犯非法获取计算机信息系统数据罪,判处有期徒刑三年,罚金人民币六千元;犯提供侵入计算机信息系统的程序罪,判处有期徒刑三年六个月,罚金人民币四万元,决定执行有期徒刑五年
四、撞库获取网银账户密码涉嫌侵犯公民个人信息罪
案例:童某侵犯公民个人信息案
【裁判要旨】:行为人使用从非法渠道获得的公民个人信息,对数据进行切割、整理,保留其中的移动电话号码、身份证号、密码等内容,通过使用专门的扫号软件,用整理出的个人信息作为网银登录名和密码进行自动匹配,用俗称的“撞库”方式,选取登录名和密码正确的信息,登录被害人网银账户,构成侵犯公民个人信息罪。
【案情简介】:从2015年9月起,童某使用从非法渠道获得的公民个人信息,与唐某一起对这些数据进行切割、整理,保留其中的移动电话号码、身份证号、密码等内容。随后,童某租用服务器,使用专门的扫号软件,用整理出的个人信息作为网银登录名和密码进行自动匹配,用俗称的“撞库”方式,选取登录名和密码正确的信息,登录被害人网银账户。
【判决结果】:童某犯侵犯公民个人信息罪,判处有期徒刑三年六个月,并处罚金人民币四万元;
此外,根据《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第十一条 第二款规定,本解释所称“身份认证信息”,是指用于确认用户在计算机信息系统上操作权限的数据,包括账号、口令、密码、数字证书等,可知上述账号密码也属于计算机信息系统数据。在司法实践中,部分法院会判处侵犯公民个人信息罪和非法获取计算机信息系统数据罪数罪并罚。