文档介绍：信息法与信息系统安全
班级: XXXXXXXXXX
姓名: XXXXXXXXX
学号:XXXXXXXXXXXX
2012年6月14日星期四
案例内容:
2011年,陈军在QQ网聊中偶然添加了一个网民叫做"机票"的人,通过聊天,他知道此人专门从事东航机票代理。"机票"告诉陈军,做东航的机票代理有较高的返点,可以与他合作,一起拉客户卖机票,赚取其中的差价,陈军立即同意。随后便在广州白云区的一幢楼房内租了一间屋子,并添置了几台手机和电脑作为代理机票销售的工具,他还找来朋友李超和姚振一起合作,生意就这么做了起来。
通过"机票"的介绍,陈军得到了东航机票销售平台网站的一级机票代理账户和密码,有了一级代理的身份,他可以得到3%-10%的返点。然而,2011年4月,当陈军又一次登陆到东航机票销售网站时,无意中发现了一个管理员账户。在好奇心的驱使下,他反复测试得出了管理员账户的密码,并利用这个账户侵入了东航的系统。侵入系统之后,陈军发现了很多页的管理员名字与信息,随后,他便一个个进行测试与破解,最终获取了6、7个管理员账户密码。陈军发现,在破解出的管理员账户中,其中一个是可以设置机票代理和随意输入机票销售返点率的。于是他想,如果给自己设置的代理机构输入更高的返点率,岂不就可以赚到更多的差价了?于是,陈军通过这个账户自行设置了名为"哥本哈根办事处"、"利比亚营业点"等的十多家机票代理,并把返点率设置成40%-70%。在随后的"生意"中,他就利用这十多家机票代理的身份,总共出票3300余张,在QQ上吸引客户,低价入手高价出售,获取200多万元的差价。
陈军等3人非法侵入东航交易平台,出票3300余张并销售,骗取代理费200余万元。记者昨天从长宁法院获悉,因犯诈骗罪,陈军被判处有期徒刑十一年六个月,剥夺政治权利一年,并处罚金二十万元;李超、姚振被判处有期徒刑八年六个月,并处罚金十万元。
分析与论述:
刑法第二百六十六条指出:诈骗公私财物,数额较大的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金;数额巨大或者有其他严重情节的,处三年以上十年以下有期徒刑,并处罚金;数额特别巨大或者有其他特别严重情节的,处十年以上有期徒刑或者无期徒刑,并罚金或者没收财产。本法另有规定的,依照规定。陈军等人以非法占有为目的,采取虚构事实,隐瞒真相的方法,骗取公司财物,其行为构成诈骗罪,其数额特别巨大,而且根据刑事诉讼法第一条规定,当诈骗数额大于五十五万时,应当认定为刑法第二百六十六条规定的“数额特别巨大”,而本案中,陈军通过咋骗获取了200多完,所以应该判十年以上。
本案例是一个利用计算机进行的商业诈骗,作为经营单位东方航空公司,反观案发的过程,从信息安全的专业角度看,其管理漏洞也是显而易见的。首先陈军何以能够得到管理员账户就不可思议,因为一般来说,管理员的账号密码应该是保密的;其次,他通过反复测试得出了管理员账户的密码,并利用这个账户侵入了东航的系统更匪夷所思,这也说明东方航空公司网站的设计不够完善,没有做防***,所以很容易就会被人破解;再次,他可以用这个账号发现了很多
页的管理员名字与信息,并最终测试与破解,获取了多个管理员账户密码,简直就是天方夜谭,陈军作为一个代理账户,居然能看到管理员的账号和密码,说明网站的权限没有分配好,而且账户居然没有定时检测