高校毕业生充当黑客 入侵学校教务系统篡改成绩谋利

正义网成都1月6日电(记者傅鉴 通讯员钟会兵 韩婷 冯科)利用高校教务网络系统漏洞取得管理员权限,远程帮助在校学生修改考试成绩并收取酬劳,四川某高校大四毕业生自以为找到了一条生财之路,却因此葬送了自己的前程。2016年8月,闫某彬因涉嫌破坏计算机信息系统罪被崇州市检察院依法批准逮捕,12月,崇州市检察院提起公诉。近日,四川省崇州市人民法院判处闫某彬有期徒刑五年。

多人要求取消重修,教务处老师发现猫腻

“喂,是崇州市公安局么?有人非法入侵了我们学校教务系统……”2016年5月11日,四川省某职业技术学院教务处的老师成静(化名)拨通了崇州市公安局的报警电话。

自2016年2月份开始,陆续有学生找到成静,声称自己粗心看错成绩误报了重修,要求取消重修。刚开始人数不多,并没有引起成静的重视。到了五月份,以同样的理由要求取消重修的学生陡然增多。“一般情况下,不会有这么多的学生同时看错成绩并选择了重修。”成静告诉记者。

带着疑问,成静将教务系统中的成绩与线下的成绩做了对比,发现至少有十余名学生的成绩在系统中作了修改,但是相关的科任老师并未提供修改申请。经过分析,成静怀疑有人入侵学校的教务系统篡改了学生成绩。通过作学生的工作,一名学生承认了出钱在网上找人帮忙修改成绩的事实,于是就出现了文章开头的那一幕。

警方顺藤摸瓜,挖出背后“黑客”

接到报案后,崇州市公安局高度重视,鉴于这是该市首例破坏计算机信息系统案,犯罪嫌疑人通过网络作案隐蔽性强、侦查难度大,且有可能仍在持续作案,该局迅速成立5.11破坏计算机信息系统案专案组。

办案民警在学校的帮助下,找到了十多名修改成绩的学生,从他们电脑、手机的QQ聊天记录中迅速锁定了一位网名叫“东瑜”的人为本案的嫌疑人。但是犯罪嫌疑人非常狡猾,在聊天的过程中使用的是代理服务器,公安机关无法锁定犯罪嫌疑人的真实IP地址。既然无法通过聊天记录突破案件,公安民警就转变了侦查方向,把重点放在调查资金流向上。办案民警发现,每次改分成功后,犯罪嫌疑人都会要求学生把钱打入一个用户名叫李某的支付宝账户,随后该笔资金又转入一个用户名叫闫某彬的支付宝账户,并通过闫某彬的工商银行的卡取现。警方分析,用户名为李某的支付宝账号很可能只是犯罪嫌疑人掩盖自己真实身份的手段,而犯罪嫌疑人真实的身份叫做闫某彬。进一步调查闫某彬的身份信息,资料显示:闫某彬,男,22岁,四川某高校计算机专业的大四学生,在成都某软件公司实习,而犯罪嫌疑人通过银行取现的地点就在成都市某区。种种迹象表明,闫某彬很有可能就是本案背后的“黑客”。

在锁定本案的犯罪嫌疑人后,2016年6月29日,崇州市公安局的民警将闫某彬从所实习的公司带走,很快闫某彬交代了全部的作案经过。而就在闫某彬被抓的前一天晚上,他还帮西安某学院的几名学生修改了成绩。

参加网络安全大赛,无意发现网络漏洞

“我从小就很喜欢电脑,但是直到高中我才有机会接触计算机,高考填志愿时我毫不犹豫地选择了计算机专业……”闫某彬出生于四川达州的一个小山村,父母均为本分的农民。据闫某彬的大学老师介绍,闫某彬学习计算机很有天分也很努力,很多知识一点就通,在大一的时候就基本上自学完了本科阶段的计算机课程。由于成绩优异,闫某彬多次获得国家励志奖学金,大三的时候就已经是高级软件开发工程师了,并且获得过四川省计算机设计大赛一等奖、全国三等奖。

2015年7月,闫某彬接到了互联网安全比赛的邀请,在为比赛进行训练期间,他对其所就读的学院教务网站进行扫描的时候,偶然间发现教务网站所使用的教务管理系统存在漏洞。在好奇心的驱动下,闫某彬通过这个漏洞下载了学校教务系统数据库中的数据。虽然这些数据都被加密了,但是闫某彬通过自制的小工具还是轻而易举地对加密密码进行了破译,获取了系统管理员权限。为了获取更大的数据样本撰写修复漏洞报告,闫某彬对四川某职业技术学院、西安某学院等十余所高校的教务系统进行了同样的操作,并获取了管理员权限,而这十余所高校使用的都是同样的教务管理系统。

案发后,警方在闫某彬使用的私人电脑中发现了一个漏洞报告,上面详细记载了攻破系统的步骤,以及如何对系统漏洞进行修复的方法,这些都证实了闫某彬入侵数据库的初衷。“我知道以技术手段获取这些网站的管理员权限是不对的,所以下载数据后我都把它们小心保存在U盘里面了,并没对外传播或者出售。”面对警方的讯问,闫某彬说道。

临近毕业生活拮据,篡改考试成绩获取非法利益

2015年年底,当时的闫某彬和所有其他学生一样都面临着同样的抉择,读研还是工作。作为从农村出来的孩子,家境并不宽裕的闫某彬深知父母为了供养自己读书已经付出了太多,为了能够尽早回报父母的养育之恩,他毫不犹豫地选择了工作。在校期间成绩优异、并且拿过省级大奖的闫某彬受到了很多软件公司的青睐,很快他就被成都某一知名软件公司录用。

2016年初,闫某彬就来到了公司实习,从校园到社会,住房、餐饮、社交所需的费用剧增,生活成本陡然增高,然而还未毕业的他只能拿到微薄的实习工资。父母都已年过六旬,一心想要用自己的双手撑起整个家的闫某彬认为,自己已经走出社会就不能再向父母要钱了。在生活的压力下,闫某彬把黑手伸向了半年前他所入侵的那些高校教务系统。

“有没有挂科的同学需要改成绩,想改成绩的同学私聊我。”2016年2月份开始,闫某彬在四川某职业技术学院、西安某学院等十余所高校的贴吧、QQ群里面发改成绩的帖子。很快一名四川某职业技术学院的学生就联系上了闫某彬,经过一番讨价还价之后,闫某彬答应以三百元一科的价格,进入教务管理系统帮这名学生把三科不及格的成绩改成了及格。为了不让对方知道自己真实的身份和躲避侦查,闫某彬在网上购买了一个用户名叫李某的支付宝账号,让对方把钱打入这个账号之后,再把钱转入自己的支付宝账户套现。

钱来得如此之快,令闫某彬欣喜若狂,早就把法律底线和破解系统的初衷抛诸脑后。通过教务系统改分的消息在学生之间传开之后,找到闫某彬改成绩的人越来越多,闫某彬的价格也水涨船高,400元、500元、600元,最高时有学生以800元一科的价格在他那里改成绩。

据警方统计,仅在四川某职业技术学院,闫某彬就非法帮助24名学生在教务系统中修改成绩。而最后,四川省崇州市公安局委托会计师事务所对用户名为李某支付宝账号进行鉴定,闫某彬非法所得的数额为四万八千余元。

少年悔不当初,泪洒庭审现场

“尊敬的法官、检察官,我对自己犯下的罪行感到非常自责和愧疚,我在农村长大,渴望通过知识改变自己和家庭命运,面对压力和诱惑,我没有坚持原则和底线,我对不起自己的家人……”在法庭最后陈述节点,闫某彬痛哭流涕。

“这不是闫某彬被抓后后第一次哭。”本案的公诉人朱正冬检察官说道,“案件到了检察机关后,我去看守所看了他几次,几乎每次他都哭着说自己很后悔。非常优秀的大学生,本来应该在计算机领域有所作为的。”为闫某彬感到惋惜的不仅是承办案件的检察官,闫某彬所在的软件公司和所就读的四川某学院均给司法机关出具了情况说明,证明闫某彬品学兼优、工作踏实,是一个不可多得的人才;闫某彬达州老家的村民们向检察院寄来了联名信,请求从轻处理闫某彬;甚至连本案的被害方——四川某职业技术学院也向司法机关出具了《关于给予闫某彬从轻处理的建议》,希望能给他改过自新的机会。

闫某彬的父母在得知儿子“犯事”后,第一时间从达州的农村里赶到了成都,到公安局了解了闫某彬犯罪的情况并到看守所探望了儿子。在得知闫某彬从学生那里非法收取4万余元改成绩费用后,老两口赶忙从亲戚朋友那里东拼西凑了3万多元退还给了那些学生。

闫某彬陈述结束后,法庭进行了短暂的休庭便进行了宣判,“根据《中华人民共和国刑法》第二百八十六的规定,判处被告人闫某彬有期徒刑五年……”。

“破坏计算机信息系统是一项重罪,闫某彬对计算机信息系统中的数据进行篡改获利4.8万元,达到情节特别严重的标准,应当被判处五年以上有期徒刑,但是鉴于其系初犯,到案后认罪态度好、有悔罪表现,所以法官依照最低的量刑标准对他作出判决。”本案的公诉人朱正冬对记者解释道。

“一个人能力越强的时候,他所承担的社会责任也就越重。”朱正冬最后对记者说,“法律知识的缺失和对职业道德漠视是导致信息技术从业人员走上犯罪道路的主要原因,希望这个事情能够让闫某彬迷途知返,出狱后用所掌握的技术做对社会有意义的事情。”