黑客少年竊取的“數據帝國”
來到看守所的第27天,劉佳樂(化名)收到了父親寄來的兩三套換洗衣物。當看到包裹裡還夾著一件父親的上衣時,他立刻失聲痛哭。這個剛過18歲生日的年輕人告訴中國青年報·中國青年網記者,作為中學數學教師的父親一向小心謹慎,這次準備衣服時,肯定是瞞著母親,不想讓她傷心,才把自己的衣服湊了進來。
劉佳樂是最近網絡上刷屏的新聞“高中生竊取1億條公民信息獲利2萬”中的當事人。日前,中國青年報·中國青年網記者在無錫第二看守所與他進行了獨家對話。
成就
劉佳樂的老家廣東信宜市,與廣西交界,在他眼中是“信息閉塞的五線城市”。
“小時候沒人陪我玩,經常一個人玩電腦。”劉佳樂的父母是雙職工,工作都比較忙。父親是高中數學教師,很早就教他數學。小學時,劉佳樂就學會了初中的許多知識。不過,性格偏內向的他似乎不太會和同學交往,“高智商”也似乎並沒有引來同學們的喜愛,他甚至覺得自己不合群。
劉佳樂不願回憶那段充斥著打架以及師生相處不太融洽的初中三年時光,也不喜歡大多數男孩子喜歡的籃球、足球等活動,唯一讓他“稀罕”的是,每晚10點下晚自習,回家後便進入那個可以躲避現實中孤單、還能帶來“成就感”的網絡世界。
劉佳樂的數學和英語很好,經常逛一些國內外技術帖論壇。高一時,他通過看一些視頻和例子,自學掌握了編寫軟件程序。編程給他帶來了課堂上從未有過的成就感。
一開始,他熱衷尋找各商業網站的漏洞。劉佳樂算了一下,僅2018年一年,他就給騰訊、百度、阿里等知名網站找了約有八九個漏洞,通過各大公司的網絡應急響應中心進行反饋,“都是些普通而非高危的漏洞”。
在這些商業網站築就的“銅牆鐵壁”中找到漏洞,而這又是眾多畢業於“985”名校的技術大拿沒有發現的漏洞,這讓劉佳樂感覺“日子特別充實”。儘管每次獎金只有200元,最多的一次獎勵是1000元,但他覺得這份成就感與利益無關。
帝國
14歲的劉佳樂在網絡論壇裡閒逛時,有網友提到了“暗網”。後來,他嘗試翻牆,登錄暗網網址後,看到了一個不一樣的世界。
“賣什麼的都有,恐怖色情視頻,各種詳細的個人信息。”其中,個人信息除名字、地區、生日外,還包括名下房產、銀行卡、個人戶籍和全家戶籍,以及手機信息和手機定位等。
後來,當熟識的網友找到他,請他幫忙在“暗網”上買戶籍信息時,他抱著“體驗過程”的想法,幫這個朋友買過幾次個人信息。“價格從十幾元到上百元不等。”在他看來,買賣雙方都是自願的,自己只是幫忙提供了聯繫方式的中介。
2017年下半年,劉佳樂在論壇貼吧中看到查詢網絡用戶個人信息的方法,對此產生了興趣。不出一個月,他便成功編寫出一款軟件,可通過內置接口,將其對接到百度貼吧,通過撞庫的方式,用不同的手機號碼不斷登錄,獲取手機號碼對應的賬戶信息。2018年6月,劉佳樂又編寫出了一款能夠批量獲取信息的軟件。
他將這款軟件分了很多手機號段,在境外租用十幾台服務器,蒐集的數據會自動導入到租用的網絡數據庫裡。短短不到1個月的時間,他的數據庫中便存儲了上億條個人信息。
在網絡黑市裡,劉佳樂掌握的個人信息庫是眾多網絡黑灰產急需的。有人希望找到在百度貼吧的發帖人,於是提供賬號,劉佳樂通過信息庫搜索,就能找到賬號對應的手機號碼。當然,也有人找到劉佳樂,希望買到一個被別人註冊過,但一直被限制的“好看的ID賬號”。
劉佳樂在境內網絡建立起微信群、QQ群,在境外使用“Telegram”等聊天工具,自助編寫“信息查詢”機器人,將數據庫以包月查詢的形式向他人兜售,並且通過連接VPN翻牆到境外,以比特幣為交易貨幣販賣數據庫長達兩個月,共計獲利約兩萬元。
劉佳樂告訴中國青年報·中國青年網記者,2018年8月,他發現市場上有其他數據包在出售,他猜測其他黑客也掌握了百度貼吧這個漏洞,於是,他向百度貼吧反饋,將漏洞封堵。
按照他原本的設想,他將對數據庫中上億條個人信息進行整理,進而獲取用戶名、手機號碼對應的真實姓名、家庭地址等公民個人信息,利用技術手段實現經緯度實時定位,從而建立起一個強大的“數據帝國”。
“別人從上億條信息中找一條具體信息可能需要十幾分鐘,而通過我這個數據庫只需要0.2秒。”劉佳樂說。
權力
有人知道劉佳樂有這個數據庫後,想花高價購買,但他想:“我怎麼知道他買了之後會做什麼,但我覺得自己做事是有底線的,騙人害人的事情不會做。”
可是,他不清楚自己非法獲取上億條賬號和手機號的行為,已嚴重觸犯了法律。
2018年9月,無錫市惠山區警方接到網友舉報,有人在論壇、貼吧等平台售賣公民個人信息以及盜竊信息所用的黑客軟件,惠山區警方第一時間立案偵查,跨省抓捕了江西籍26歲犯罪嫌疑人付強(化名)。
付強的網名叫“清風”,曾向網友“i春秋”購買了一款黑客軟件用於非法獲取公民個人信息,非法獲利上千元。“i春秋”就是劉佳樂的網名。
今年4月,無錫惠山警方前往廣東對劉佳樂進行調查。由於他即將迎來高考,在偵查環節公安機關對他採取取保措施並准許其參加高考。
但劉佳樂高考落榜了。“自從警察找上門後,情緒經常崩潰”。
今年8月,無錫惠山區人民檢察院對劉佳樂批准逮捕。迎接他的,不是大學,而是異地他鄉的看守所生活。
無錫惠山區人民檢察院承辦檢察官徐靜超指出,該案數據總量大,非法獲取公民個人信息精準,危害公民個人信息安全甚至是國家數據信息安全,現已上訴至法院。不過犯罪嫌疑人在犯罪時尚未成年,即使現在是成年人,仍屬於未成年人犯罪,應當依法從輕或減輕處罰。
“黑客是一群為技術著迷的人,但也有他們自己的基本理念。”廣東警官學院公共管理系主任、珠三角公共安全研究所所長吳興民,曾花3年時間對黑客進行了專門研究。
在與多名黑客深度訪談後,吳興民發現黑客的年齡一般都不大,性格偏內向,有時跟同齡人相比顯得格格不入,但對於自己的技術極有信心。
吳興民分析,如今的一些黑客“往往分不清打破技術壁壘和打破信息保護之間的不同,可能嚴重觸犯了法律還不自知”。部分黑客違法犯罪不完全是因為法律意識淡薄。“黑客當然知道非法竊取他人信息是觸犯法律,但他所擁有的技術就是他手裡掌握的權力。常言說,失去監督的權力必然導致腐敗。當這種技術可以給他一種強烈的力量感時,他有可能會覺得我可以,那為什麼不做呢?”
吳興民說:“隨著年齡的增長和心理上的逐漸成熟,當年痴迷於網絡技術的少年黑客中,許多人已經在從事網絡安全方面的工作,有了更好的出路。”
徜徉在網絡世界裡的劉佳樂還是迷茫的,他總是能看到對一件事的多種說法,似乎每一種都有道理,自己心裡也沒有答案。
他向記者形容那種感覺,就好像長期以來接受教育都是“1+1=2”,突然有一天看到“1+1=3”。“剛開始很排斥,覺得太荒唐可笑了。可後來就會懷疑自己接受的東西是否正確。”
“當青少年沒有完善的知識理論體系支撐時,在接受過多複雜紛亂信息的情況下,他們很容易在選擇時陷入迷茫,甚至作出錯誤的判斷。”吳興民認為,在他們是非觀念、辨別能力都還不是很強的情況下,有必要引導,甚至加以一定限制。
心願
其實,劉佳樂一直有個心願。
2018年,他在高二暑假期間從網上了解到中國計算機學會舉辦全國青少年信息學奧林匹克競賽,他很想參加,但得知按規定高三年級的學生是禁止參加該比賽的,只好報名參加了網絡同步賽。
比賽結束後,中國計算機學會為參加網絡同步賽的選手提供了電子版參賽成績證明,劉佳樂是他所在市唯一一個選手。
高三開學後,劉佳樂在網上看到了線下比賽的題目,“基本都能答上來”。
在他看來,家鄉的信息非常滯後,老師同學對這些也不太關心。那時,他“滿腦子”都想著參加各種奪旗賽(在網絡安全領域中指的是網絡安全技術人員之間進行技術競技的一種比賽形式——記者註)
“有民間組織的,還有’985’高校組織的,參加奪旗賽會很有成就感。”當說起這些競賽時,戴著手銬的劉佳樂語速飛快。
而在沒有網絡的看守所裡,劉佳樂終於回到了現實世界。
他回想著現實中一個個認識和接觸過的人。“沒有什麼朋友,平時聊的多數是網友,從未見過面。”
父親是他唯一的傾訴對象。“我對歷史和宗教很感興趣,但有些話題不知道怎麼和別人聊。父親會靜靜聽我說,儘管大多數時候他也搭不上什麼話。”
劉佳樂有心儀的大學,高二報名參加計算機競賽時,也期待著如果能獲獎,還能成為自主招生的加分項。不過,今年9月的大學已確定與他無緣,這讓剛滿18周歲的他突然感慨自己“時間不多了”。
在看守所裡,劉佳樂思考著一個現實的人生話題:是做一個普通人好,還是做一個特別的人好?“可能還是做普通人比較好吧。”沉默許久,他低著頭說。