單車是別人的,運營管理也是別人的,但錢卻可以落入自己的口袋……這等好事哪裏找?一款App就能讓這樣的美夢成真,這款App可以共享所有的共享單車,竟然薅了共享單車公司9320餘萬元“羊毛”。
日前,該共享單車界“萬能鑰匙”徹底翻車。經上海市閔行區檢察院提起公訴,李某、張某等6人破壞計算機信息系統案在法院開庭審理,檢察官當庭建議對主犯李某判處禁止從事計算機相關行業工作。
瞄準共享單車動起歪腦筋
隨着共享單車在國內遍地開花,有人瞄準了其中隱藏的商機,動起了歪腦筋。2017年1月,某科技公司實際控制人李某起意創設了“全能車”App。這款外掛軟件主要通過修改計算機信息系統中處理、傳輸的數據,在未經營任何共享單車實體業務的情況下,能打開市場上所有品牌共享單車。
項目前期,該公司研發部總監張某詳細做了共享單車的市場調研及數據開發,採用反編譯、抓包、破解等方式,突破計算機安全保護措施,針對共享單車App進行數據包破解,研究是否可以利用技術手段開鎖。
完成前期準備後,這家科技公司內部做了明確分工,項目的前端App、服務器、各項接口的後端以及後台維護均有人專門負責。
假共享,真薅“羊毛”
為了拉攏更多客户,“全能車”App以低於品牌共享單車包月服務費的方法吸引用户,並鼓勵用户提供自己的摩拜、哈囉等共享單車的賬號,加入他們的手機信息池,還對加入信息池的用户每天給予幾毛到幾元不等的返利。除了賬號共享,該公司還使用虛擬卡、實體卡等方式註冊了品牌共享單車的月卡、季卡等,設立賬號卡池。
同時,李某等人將“全能車”App用户掃碼獲得的車輛二維碼與其卡池的賬號信息,按照前期破解被害單位的數據編寫規則重新編成一個數據包,使用虛擬服務器發送至被害單位後台服務器,讓服務器誤以為是正常用户通過正常App發送的數據,從而向單車發出開鎖指令。
但是,同一賬户頻繁開鎖關鎖,甚至同時存在於不同地理位置開鎖關鎖,一旦被品牌共享單車公司發現,就會被封號。為了避免封號的風險,李某等人還將發送的數據中的信息進行修改,以破壞品牌共享單車服務器識別用户的功能。
剝下新型網絡犯罪的畫皮
車是別人的,運管也是別人做,但錢卻自動進入自己的口袋。截至案發,短短几年該公司發展全能車App註冊用户共計476萬餘人,完成訂單總數約3.48億條,收取的用户充值費用9320餘萬元。
閔行區檢察院檢察官在法庭上指控,被告人對品牌單車App進行反編譯,對App傳輸的數據包進行抓取、破解的行為,涉嫌非法獲取計算機信息系統數據罪;被告人利用上述方式獲得的數據編寫規則及通訊端口等信息,再通過虛擬服務器發送至品牌單車服務器的行為,涉嫌破壞計算機信息系統罪,應擇一重罪處斷,以破壞計算機信息系統罪定罪處罰。同時,被告人所在單位對計算機信息系統中處理、傳輸的數據進行修改,其行為涉嫌破壞計算機信息系統罪。
檢察官提醒公眾,網絡社會在滿足用户信息交互、網購等需求的同時,也被一些不法貪利者盯上了,逐漸成為新型網絡信息犯罪的温牀。在對公眾進行普法教育,引導其避免貪圖小利使用非法軟件泄露隱私的同時,更重要的仍然是加強對新型網絡信息犯罪的預防和打擊力度,警惕和辨識那些企圖利用非法網絡信息技術實施的違法犯罪行為。