多次摇号未中想泄愤
在压力最大时,他偶然间找到了发泄渠道。2012年底,他在一次登录小客车摇号网站时,发现网站“密码找回”功能存在漏洞——随意输入手机号,就可以让系统发送验证码。出于职业特性,他发现网站漏洞后,就考虑着如何利用漏洞做一些对自己有利的事。
首先,他想到泄愤。他说,自己曾把名下的车卖了获得购车指标后,没有及时换车,指标便过期了,而妻子一直摇号不成功,他逐渐对北京摇号政策不满,想攻击网站。
其次,他正苦于如何推广“小兵挂号”,希望设计一款软件,通过“获取短信验证码”的方式探测哪些用户注册了摇号系统,以获取大量有效的手机号,群发短信推广他的软件。
为了完成操作,他花了几天时间:在网上找出了北京地区手机号段的起止范围,找到了5000多万个手机号码,还找了300多个代理IP写入自己的“攻击”程序里。
23日凌晨,他便进行实操了。通俗讲,就是用他开发的软件模拟“忘记密码”的申请人,在“找回密码”项目中填写手机号。如果输入的手机号是在网站上注册过的摇号申请人,那么,在申请人莫名获得验证码的同时,他在后台能获取“短信验证码已发送”的反馈,可用的号码会自动保存到他的文件里。就这样,他获取了92万余在摇号网站注册的手机号。
看新闻才知“闹大了”
“说实话,攻击网站后,第一感觉是出了口气。”凌晨,盯了两个小时电脑后,他睡了。但白天恐惧却袭来。当天中午,交通委发现被恶意攻击,立即弥补了漏洞,同时对此事件发出公告;晚上,相关新闻报道已铺天盖地,张利斌“开始害怕”。
“新闻报道了这件事,当时我就意识到闹大了。”第一时间,张利斌赶紧改了几个服务器地址,但没改全就因为忙别的事情忘了。
三天后,他在网上找了短信群发的代理商,花一千多买了2万条群发空间。然后,他在获取的92万余条手机号码中,选择了7000多个号码开始群发短信,推广“小兵挂号”。但还没取得任何效果,他就被警方控制。
张利斌说,虽然小客车摇号用户与就医用户并非一个群体,但他没有别的推销渠道,“参与小客车指标摇号的用户也是比较有钱的群体,他们也会有生病就医的时候,我就这么做了。”
非法获取92万余手机号步骤
1
在网上搜出北京地区手机号段的起止范围,找到5000多万个手机号,并写“攻击”程序,还找了300多个代理IP写入程序
2
利用网络远程控制技术及自编软件,在北京市小客车指标调控管理信息系统网站上,模拟“忘记密码”的申请人,在“找回密码”项目中填写手机号
3
如果手机号是在网站上注册过的摇号申请人,该号码会自动保存,如果未注册过,则看到“手机号码未注册”字样。共获取92万余个可用号码
4
在获取的92万余条手机号码中,向其中的7000多个号码群发短信,推广其研发的“小兵挂号”软件
■ 事件回顾
2012年12月23日凌晨3时许至中午,许多购车摇号的市民手机上收到了落款“小客车指标办”发送的6位“短信验证码”,一些市民误以为中签了,还有市民认为信息被泄露。随后,小客车指标办在网站发布信息称,发送验证码是系统一项服务功能,对摇号申请人没有影响。之后,又发布“二度声明”称,是系统被恶意骚扰,并强调申请人信息没有泄露。
■ 说法
用户信息被利用 网站有责任
DCCI互联网研究院院长刘兴亮介绍,张利斌的攻击是模拟用户的行为,对于系统来说,就好像一个用户在使用“找回密码”功能,如果网站对这方面防范不强,批量窃取信息很容易实现。
他举例说,就如同设置邮箱密码的“安全级别”一样,如果用一串数字做密码,用软件从1到10不停比对,利用计算公式可以几秒内演算出来,而数字和字母的组合则需要一两年,加上符号可能需要十几年才能演算出来。此前摇号网站只需要输入一串手机号,防范级别不高,容易被攻破。
刘兴亮认为,对于摇号网站这种涉及公众身份信息的网站,更应该增加防范级别。因防范不慎被犯罪分子利用,网站的维护者是有责任的。因此,希望掌握隐私信息的网站一定要做好安全防范,增强责任心。
■ 体验
网站已升级 需加输证件号
昨日,记者进入小客车指标调控管理信息系统,点击“找回密码”功能,需要填写“证件号码”、“手机号”、“图片验证码”之后,才能“点击获取短信验证码”。填写完毕,1分钟内,记者输入的手机号便收到“小客车指标办”的6位验证密码。
据介绍,这是在2012年12月23日,该网站被攻击后,交通委加强了系统安全防护功能。
记者获悉,摇号网站的短信验证码发送功能需要向中国移动支付每条0.05元的费用,正常每日发送量为4000余条,费用是交通委承担,但此次张利斌的恶意攻击,使向用户发送信息量大量增加,造成不必要损失达4.7万元。
本版采写/新京报记者 刘洋加拿大华人网 http://www.sinoca.com/
|