天下网吧 >> 网吧天地 >> 网吧行业 >> 网络追踪 >> 正文

大三男生网上展示如何破解老师邮箱 称仅测试漏洞

2012-12-28现代快报曾偲
:大三男生网上展示如何破解老师邮箱 称仅测试漏洞

他曾以高校“平均脸”轰动网络,让大家惊呼电影《社交网络》里的桥段也能成真;又通过拨号声音破解360总裁周鸿祎手机号,博得周鸿祎、李开复等互联网大佬 的青睐。他就是现代快报多次报道过的刘靖康——南京大学大三学生,一个鼎鼎大名的90后“技术帝”。这一次,他似乎玩得更大了:他的一篇名为《如何通过入 侵老师邮箱拿到期末考卷和修改成绩》的日志,在人人网上疯狂转发,并最终发酵到微博上。

刘靖康

网友评议外院女孩最漂亮

破解电话号码截屏图

人物档案

刘靖康,男,1991年出生,是广东省中山市人,2010年进入南京大学学习。

入侵老师邮箱 网上发布攻略

“这个漏洞是无意中发现的,我只是验证了它可行了,但最后是没有干坏事的。”12月26日晚,刘靖康将这篇名为《如何通过入侵老师邮箱拿到期末考卷和修改成绩》的日志,发布在自己的人人网主页上,“目测很多高校的邮箱系统都有这样的漏洞,欢迎其他同学们去实践和验证,但不要做坏事。”随后,刘靖康在日志中图文并茂地展示了他破解邮箱漏洞的过程,并且贴出了邮箱内部截图,里面清晰地显示出“考试A卷”“考试B卷”等文件主题名。

据了解,这个邮箱是刘靖康所在的南京大学软件学院教务员邮箱,任课老师会将考试试卷和成绩一并发给教务员,由其整理汇总。为了证明自己确实没有“做坏事”,刘靖康还特地在日志中说明:“我们年级下学期才考试,我真的没有打开或下载过,里面任何一封邮箱和试卷。”除了查阅试卷,刘靖康还在日志中提出了一个更吸引眼球的尝试:修改成绩。但对于这个技术行为,刘靖康只简略说明了其可行性,并没有进行验证。

我真的没恶意 只想测试漏洞

“我真的没有恶意,只是想测试一下漏洞。”昨天,刘靖康对现代快报记者一再强调,自己是想看看能否给学校的网络维护系统提供一些帮助,对因此给学校带来不好的影响,表示抱歉。一位与刘靖康熟识的技术朋友姜非(化名)说,刘靖康试验成功后就在人人网上发状态,有人开玩笑“求期末考试过”,他当即就拒绝了。

“如果他要作弊,自己一个人偷着乐就行了。”姜非解释,从刘靖康的破解日志上,并不像很多人担心的那样,可以模仿复制,轻易便能学会如何攻击邮箱。“他把关键的代码和过程都略过了,一般人根本不懂如何跳到下一步。”但刘靖康这种自证清白的做法还是让很多网友不买账:“他既然有这个技术,就有做这件事的能力,不能百分百保证”。

我这次太冲动太浮躁,对不起

“在此,为我的冲动、浮躁和做事方式,向担心我的人、受到不好影响的人,以及因此事受损的软件学院,表达我的歉意,对不起!而事情的结果会按照学校正常的处理流程得出。另外我还是希望此事对院邮,其他学校的系统和受日志启发去思考和验证的同学会有积极的结果。”昨天下午,刘靖康对于这件事做出了一个最后回应,便开始重新投入生活。

学校表示:这事正按程序处理

12 月27日,刘靖康意识到网络的发酵超出他自己的想象。“日志被要求删掉了”“辅导员给父亲打电话,说可能要开除我”“非常抱歉, 刚刚关于退学的状态,是我父亲把老师的意思理解并传达错了”……连续更改好几条状态之后,许多关注到这件事情的南大学生、技术爱好者依然守在人人网上,希望能得到确切的答案。南京大学软件学院表示暂不接受采访,这个事情正在处理中。网上盛传“被开除”谣言,也让许多关心刘靖康的网友们惊呼“处分会不会太重了”。还有一些网友则认为,相信学校不会开除他,年轻人都会犯错,相信学校会宽容。

说法

求知精神可嘉

但要守住底线

“该同学的行为事实上属于非法侵入计算机信息系统。”江苏汇商律师事务所律师吕剑峰说,但学校老师的邮箱系统,不属于“国家事务、尖端科学技术领域的计算机信息系统”,因此还不构成刑法上的非法侵入计算机信息系统罪。另外,根据治安管理处罚法的有关规定,刘靖康侵入信息系统后,没有造成实质危害,“特别是在他日志中,对披露的信息,相关图片进行了屏蔽 ,所以也不违反治安管理处罚法的行为,不用承担行政责任。

不过,吕剑峰强调,这肯定构成了侵权。吕剑峰表示,“所以作为学生,富于求知精神可嘉,但是尚要守住道德和法律底线。”

说事

@IT莲接:能教出这样的学生,南大确实牛!

@摩西小萍:南大软件学院的老师们给这孩子一个A+。

@掌中蓝天-平源:完全很意外,南大竟然会用邮箱发试卷和成绩,并且还毫无保密措施。

@黑客老鹰:大学网络里这类系统漏洞多了去了。

建议

学会正当处理“漏洞”

现代快报记者询问了此前曾破解微信密码漏洞,还在凌晨问候过马化腾的资深黑客“only_guest”张瑞冬。他是国内知名的漏洞报告平台“乌云网”上“查漏补缺”的高手,也是黑客圈子里的“白帽子”(不会恶意利用计算机系统或网络系统中的安全漏洞,而是通过提示和公布等方式,促进漏洞的修补)。

面对刘靖康这次可能要面临的学校处分,张瑞冬给出自己的建议:“在发现这样的问题后,最好先和学校的管理人员沟通,让他们先把这个漏洞修补了。修补之后再去公开整个漏洞的利用过程。而不是在对方未修补之前就把问题公开。”

国内邮箱

几乎100%有漏洞

“目前国内邮箱,基本上100%存在漏洞。”东大网络管理与网络安全专家杨望老师表示,他也注意到这位学生在网上发的帖子。老师邮箱密码之所以让这个学生破译了,主要还是邮箱的安全系统存在漏洞。

如何防范

邮箱被入侵?

而针对普通用户如何防范邮箱被入侵,张瑞冬则教了个方法:“我们要养成一个良好使用邮箱的习惯,例如我们在不用这个邮箱的时候,一定要记得点击退出邮箱或者注销登录这样的功能。不要去查看来路不明的邮件,还有一些标题很有诱惑力的邮件不要轻易查看。”

他的“杰作”

2012年7月

第一次出手

制作“平均像” 获封“标准哥”

他轻易下载了全校7000多名学生的照片,将学生证件照的轮廓提取出来,然后将之平均,填充平均肤色,他制作了全校30个院系学生的“平均像”,各系男女各一张。照片都是人头像,类似登记照,画像普遍比较漂亮,只是照片边缘有点模糊。网友评议哪个院系女孩最漂亮,最后得出的结果是外语学院。他因此获封“标准哥”。

2012年9月

第二次出手

听音辨号 获封“技术帝”

他通过一则采访视频获取了记者拨打 360总裁周

本文来源:现代快报 作者:曾偲

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。文章是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。 Email:support@txwb.com,系统开号,技术支持,服务联系微信:_WX_1_本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行