大学生入侵高校教务系统帮人篡改成绩 获刑5年无意间发现的漏洞从(2)

【标题】大学生入侵高校教务系统帮人篡改成绩 获刑5年无意间发现的漏洞从(2)—王勋

　　有人入侵了我们学校的教务系统……”2016年5月11日，四川省某职业技术学院教务处老师成静（化名）向崇州市公安局报警。自2016年2月起，陆续有学生找到成静，声称自己因粗心看错成绩误报了重修，要求取消重修。刚开始人数不多，并没有引起成静的重视。到了5月，以同样理由要求取消重修的学生陡然增多，引起了成静的怀疑。带着疑问，成静将教务系统中的成绩与线下成绩做了对比，发现至少有十余名学生的成绩在系统中作了修改，但是相关科任老师并未提出修改申请。经过分析，成静怀疑有人入侵了学校的教务系统并篡改了成绩。通过做学生的思想工作，一名学生承认了出钱在网上找人帮忙修改成绩的事实。成静随即报警。警方顺藤摸瓜，挖出背后“黑客”警方在学校的帮助下，找到了十余名修改成绩的学生，并从他们的QQ聊天记录中迅速锁定了一个网名为“东瑜”的人。由于此人在聊天过程中使用的均是代理服务器，无法锁定其真实IP地址，警方于是把侦查重点放在了调查资金流向上。
　　侦查人员发现，每次改分成功后，“东瑜”都会要求学生把钱打入一个用户名为李某的支付宝账户，随后该笔资金又被转入一个用户名为闫传彬的支付宝账户，并通过闫传彬的银行卡取现。侦查人员分析，李某的支付宝账号很可能是个“马甲”，犯罪嫌疑人的真实身份就是闫传彬。经查，闫传彬系四川某高校计算机专业的大四学生，在成都某软件公司实习。种种迹象表明，闫传彬很有可能就是远程入侵系统的“黑客”。2016年6月29日，闫传彬落网，并很快交代了全部作案经过。参加网络安全大赛，偶然发现系统漏洞闫传彬出生于四川达州的一个小山村，父母均为本分的农民。
　　由于学习计算机很有天分也很努力，他在大一的时候就基本自学完成了本科阶段的所有计算机课程，并多次获得省里及全国计算机比赛大奖，大三时就已经是高级软件开发工程师了。2015年7月，闫传彬接到了一个关于网络安全比赛的邀请。赛训期间，他对所就读的学校教务网站进行扫描时，偶然间发现该网站所使用的教务管理系统存在漏洞。在好奇心的驱动下，闫传彬通过系统漏洞下载了学校教务系统数据库中的数据，并用自制的小工具轻而易举地破译了密码，取得了系统管理员权限。为获取更多的数据样本撰写修复漏洞报告，闫传彬对四川某职业技术学院、西安某学院等十余所高校的教务系统进行了同样的操作，并获取了管理员权限，而这十余所高校使用的都是同样的教务管理系统。临近毕业生活拮据，篡改考试成绩获取非法利益2016年初，临近毕业的闫传彬来到成都某知名软件公司实习。由于生活成本陡然增高，而实习工资却少得可怜，在生活的压力下，闫传彬想到了那个存在漏洞的高校教务系统。“有没有挂科的同学需要改成绩？想改成绩的同学私聊。”2016年2月起，闫传彬在四川某职业技术学院等十余所高校的贴吧、QQ群里发出改成绩的帖子。很快，一名学生就回应了。最终，闫传彬以每科300元的价格帮该学生把3科不及格的成绩改成了及格。
　　为逃避监管，闫传彬在网上购买了一个用户名为李某的支付宝账号，让对方把钱打入这个账号后，再把钱转入到自己的支付宝账户套现。后来，想修改成绩的人越来越多。在金钱的刺激下，闫传彬把法律法规抛在脑后，叫价也肆无忌惮。后据警方统计，仅在四川某职业技术学院，闫传彬就非法帮助24名学生在教务系统中修改成绩。经过对用户名为李某的支付宝账号进行鉴定，闫传彬的非法所得数额为4.8万余元。被抓后悔不当初，多次痛哭流涕“尊敬的法官、检察官，我对自己犯下的罪行感到非常自责和愧疚……”在法庭最后陈述环节，闫传彬痛哭流涕。“这不是闫传彬被抓后第一次哭。”
　　本案的公诉人朱正冬介绍说，“案件到了检察机关后，我去看守所看了他几次，几乎每次他都哭着说自己很后悔。非常优秀的大学生，本来应该在计算机领域有所作为的。”为闫传彬感到惋惜的不仅是检察官，他所在的软件公司和所就读的大学均认为闫传彬是一个不可多得的技术人才。本案的被害方、四川某职业技术学院也向司法机关建议给予闫传彬从轻处理。闫传彬的父母在得知案情后，竭力凑了3万余元退还给了涉案学生。“闫传彬对高校计算机信息系统中的数据进行篡改获利4.8万元，达到了后果特别严重的标准，应当被判处五年以上有期徒刑。但是鉴于他系初犯，到案后认罪态度好、有悔罪表现等情节，法官依照最低的量刑标准对他作出了判决。”朱正冬解释说。