电商黑客入侵_电子商务防止黑客入侵关键技术

文字简介：

• 1、湖北学生入侵电商平台隔空盗走73万，此事中涉及到了哪些法律问题？
• 2、黑客入侵公司后台一夜盗转380多万破案了吗？
• 3、湖北一大学生化身黑客入侵电商平台隔空盗走73万，最终得到了什么处罚？
• 4、黑客会泄露别人隐私吗？
• 5、关于电子商务中的身份认证，怎么防范黑客之类的入侵者？
• 6、大学生入侵电商平台隔空盗走73万，这些学生会被如何惩罚？

湖北学生入侵电商平台隔空盗走73万，此事中涉及到了哪些法律问题？

湖北3名大学生使用非法手段入侵电商平台隔空盗走73万元，案件发生后，3名大学生已经被武汉洪山分局警方抓获。据悉，3名大学生的行为已经涉嫌盗窃罪和非法控制计算机系统罪，等待他们的将是法律的严惩，下面我们来具体看一下案件的细节以及3名嫌疑人将面临的法律责任！

大学生非法入侵电商平台盗取73万元

嫌疑人张某某、赖某某、曾某都是福建某高校的在校大学生 ，3个人利用所学的计算机知识在某电商网站上进行了IP跳转，在案发期间分4次入侵网站，将73万元分批盗走。3个人盗取巨额财物后，他们觉得将这笔巨款直接转入自己的银行卡不安全，需要找个“洗钱”团伙， 于是他们找到了另外两名嫌疑人，在一家酒店内现场交易，将非法取得的73万元按60%分成转入各自的银行卡内。

3个人的行为涉嫌非法控制计算机系统罪和盗窃罪 

3名嫌疑人利用自己的计算机知识非法修改电商平台的系统数据 ，对网站计算机信息系统实施非法控制, 已经构成了“非法控制计算机系统罪”；3个人非法入侵平台后，又造成了平台损失高达73万元，这种行为已经构成了“盗窃罪”。按照我国相关法律规定，涉嫌“非法控制计算机系统罪 ”情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金 ；涉嫌“盗窃罪”，盗窃数额特别巨大的，将面临十年以上有期徒刑或无期徒刑。3名嫌疑人的盗窃金额高达73万元，在刑法上属于“数额特别巨大”的范围，等待他们的将是漫长的刑期！

这起案件的发生让人觉得非常痛心，3名犯罪嫌疑人都处在青春年华，本应有大好前程， 但在巨额利益面前没有把持住自己，酿成大错。

黑客入侵公司后台一夜盗转380多万破案了吗？

“警察同志，我们公司银行账户一夜被转走了380多万，我来报警。”4月19日上午，渝中某电商公司技术员刘先生跑到化龙桥派出所报警称，自己公司被“黑客”攻击，盗转全部资金。

接到报警后，民警立即赶到现场调查。据刘先生讲，他们18日晚下班的时候公司账户还是安全的，19日一早上班的时候就发现公司账户的钱全部被转走，但是转走钱的是5张陌生的银行卡，并不属于他们公司的客户。

据了解，该电商公司对客户实行的积分制，客户在公司网站上购物后可以积分，在积累一定的积分之后可利用积分兑换人民币，并用绑定的银行卡提现。程序是待客户通过积分向公司申请提现后，公司后台自动审核客户的资料，一旦通过便自动将资金转到客户指定的银行账户，并设置了转款限额为3万元。

通过调查，民警发现这是一起典型的非法攻击公司网站入侵后台服务器盗转资金案。

了解情况后，渝中警方立即成立专案组全力侦办，办案民警通过仔细排查，一个月内飞赴温州、杭州、绵阳、上海、深圳、南宁等地，终于在福州发现嫌疑人的踪迹。

5月21日，办案民警前往福州千里追凶，一举将主要嫌疑人王某、冯某抓获，8月1日将黄某抓获。9月15日，办案民警又将嫌疑人张某抓获。至此，四人作案团伙全部落网。

湖北一大学生化身黑客入侵电商平台隔空盗走73万，最终得到了什么处罚？

湖北有一位大学生化身黑客入侵电商平台，隔空盗走73万，最终被刑事拘留。由于涉案较大，坐牢必不可少，能够有如此聪明才智钻 *** 漏洞，获取73万元金额，证明智商比较高，可是却没有用在点子上，不免让人感到可惜。电商平台老板对 *** 安全防护没有意识，在创建平台之时，就没有做出相应的系统来应对这一情况，才让对方有了可乘之机。还好老板的钱最后被追回来，挽回了损失，那么让我们具体了解一下吧！

一，湖北大学生化身黑客入侵电商平台，隔空盗走73万

这位大学生和其他两个同学一起合伙做的坏事，他们也有一定的自我保护意识。在盗走73万之后，还刻意把记录全部都进行了删除，为了把这些钱挥霍一空，还请专业团队来帮忙洗钱，天网恢恢疏而不漏。即使做的再完美也会有蛛丝马迹，相关工作人员根据留下的电子记录进行反复的筛查，才最终把嫌疑人锁定，并且到福建把这几位大学生给抓获了。当得知身份是学生之时，相关工作人员也感到吃惊。

二，最终得到了什么处罚？

他们已经被刑事拘留了，触犯了盗窃罪，并且非法使用电脑。电商平台老板也比较无辜，也是属于创业者，在电商平台上投入了不少心血，本身在账上有73万，结果一查账号上竟然就只剩只有0元。如果想要在电商行业创业的，老板们也要提高警惕，需要防护的软件必不可少，否则平台就像无人值守的金山。有些事情确实很赚钱，触犯法律的事千万不可以碰。

总之，本身有着大好前途，可是这几位学生却因为一时的鬼迷心窍，而把自己送上了犯罪之路，人生从此留下污点。

黑客会泄露别人隐私吗？

据了解，隐私是“不愿告人或不愿公开的个人的私事”。有人说在大数据信息时代，我们的隐私在“裸奔”，您如何看待这种观点？为什么在信息技术越发达的时代，我们的隐私越容易被泄露？

李炼：大数据时代，互联网为人们带来便利的同时，也给大家的隐私保护带来了很大的威胁。具体体现在两个方面：之一，我们的各类数据（特别是隐私数据）因成为容易变现的工具而引起众多正规服务商和灰黑产业的广泛关注；第二，互联网使得我们的隐私传播愈发迅速，使得隐私数据泄露的范围和影响日益增加。随着恶意程序、各类钓鱼和欺诈层出不穷，黑客攻击和大规模的个人信息泄露事件频发，让很多人成为了这些事件的直接的受害者， *** 隐私泄露问题也成了大家关注的焦点和社会热议的话题。各类隐私泄露事件频发，也让许多人产生了“我们的隐私在裸奔”的担忧。

信息技术的发达表现在信息技术与各个行业的融合日益加深，渗透到生产、生活的每一个角落， *** 终端和应用延伸至每个人手里，这相当于为数据的泄露开辟了更多的潜在通道，不易防范。而技术升级和商业模式创新带给大家便利的同时，往往由于 *** 监管和相关安全技术的滞后，更易造成用户隐私数据的大范围、更大危害的泄露。例如，当前5G技术比4G快数百倍，如果一个电商网站遭到黑客攻击，短短几秒就会造成用户信息、交易信息的被盗和泄露，造成的损失也是十分严重的。

记者：从技术层面看，隐私泄露和 *** 安全有什么联系？常见的 *** 安全漏洞有哪些？

李炼：从技术层面看，隐私泄露可分为两种，主动型泄露与被动型泄露，都与 *** 安全级别不够有关。主动型泄露是用户安装了一些恶意软件，这些应用在用户不知情的情况下窃取隐私信息如设备注册地、用户 *** S、图片等信息。被动型泄露是指正规软件中可能存在安全漏洞，黑客可利用该漏洞获取用户的数据。通过静态分析等 *** 检测漏洞以及恶意软件，提高 *** 安全等级，可有效地规避隐私泄露。

常见的 *** 安全漏洞有很多，美国国土安全局（US Department of Homeland Security）、 *** 安全和基础设施安全局(Cybersecurity and Infrastructure Security Agency)在2006年列举了一个分类的CWE列表，被广泛采用。我国信息安全漏洞库（CNNVD）最新一期安全漏洞周报（515期）也采用了这个分类。此外影响较大的还有对web 应用的OWASP(开发Web应用安全项目)分类。多种漏洞都可能导致隐私泄露，例如较多跨站脚本注入、SQL注入类漏洞，这些漏洞可能被黑客利用，输入恶意代码从而可以获取用户的敏感信息或权限，造成用户信息泄露。

记者：许多组织、黑客通过互联网攻击并窃取公民隐私信息数据，做非法用途。黑客们是如何通过互联网窃取公民隐私数据的？近年来黑客的攻击行为有什么新变化和新趋势？

李炼：黑客一方面可以通过钓鱼等手法诱导用户安装恶意软件从而窃取隐私信息，另一方面可以攻击在线平台，通过平台上的漏洞窃取平台上大量存储的隐私信息。例如12306网站漏洞危机、某连锁酒店5亿条开房信息被泄露等。

近年来黑客的攻击行为变得更加地自动化、组织化，例如MageCart组织在2018-2019年即组织了针对电商平台包括TicketMaster、 British Airways、新蛋网等近十次大规模攻击。再者， *** 上流传的攻击工具越来越多，这些攻击工具能够对网页、软件的漏洞扫描分类，以便开展针对性的攻击，黑客本身的技术门槛逐渐下降。这意味着对黑客的防御再也不能寄希望于对方找不到漏洞，而在于要比黑客先一步找出漏洞并修复它。

关于电子商务中的身份认证，怎么防范黑客之类的入侵者？

电子商务源于英文ELECTRONIC

COMMERCE，指的是利用简单、快捷、低成本的电子通讯方式，买卖双方不谋面地进行各种商贸活动。随着电子商务的普及，人们已经习惯于网上购物，网上

银行和电子支付等新兴事物，然而 *** 安全始终是制约电子商务发展的一个主要瓶颈。

一、电子商务的身份认证

在

电子商务活动中，由于所有的个人和交易信息要在一个开放的 *** (如Internet)进行传输和交换，故我们需要身份认证技术去验证客户的身份。身份认证

一般基于客户拥有什么(如令牌，智能卡或者ID卡)，客户知道什么(如静态密码)，客户有什么特征(如指纹，虹膜和脑电波等)。国内外常见身份认证技术包

括：用户名/密码方式 、IC卡认证、USB

Key认证和生物特征认证等。随着 *** 和黑客技术的发展，用户名/密码方式认证已经被证明是不安全的。由于静态的密码方案不能抵御重放攻击，字典攻击且密

码容易忘记，

所以其安全性是很低的，不能满足电子商务中身份认证的要求。目前国内外的一些较成熟的身份认证技术，基本上是用硬件来实现的(如IC卡和USB

Key认证技术等)。

二、各种身份认证技术的比较

1.

静态的用户名和口令方案。在众多的身份认证方案中，静态的用户名和口令方案至今仍是使用最广泛的方案，特别是针对那些安全性要求不强的应用场合，如论

坛，BBS和电子信箱。目前公司和个人受到 *** 攻击的主要原因是静态密码政策管理不善。大多数用户使用的密码都是字典中可查到的普通单词、姓名或者其他简

单的密码。有86%的用户在所有网站上使用的都是同一个密码或者有限的几个密码。最近一次全国性安全事件发生在2011年12月。当时CSDN的安全系统

遭到黑客攻击，600万用户的登录名、密码及邮箱遭到泄漏。黑客在获取了CSDN的用户登录名和密码后，再用这个密码尝试登录注册邮箱，如果成功则利用很

多网站常用的密码取回功能得到了该用户的其他关联网站的账号和密码。总而言之，静态密码身份认证方案的优点是实施成本低，不需要购置特殊的设备，用户体验

性好，但其安全性较低。

2.

客户证书USBKey(U盾)方案。从技术角度看，客户证书USBKey是用于网上银行电子签名和数字认证的工具，它内置微型智能卡处理器，采用1024

位非对称密钥算法对网上数据进行加密、解密和数字签名，确保网上交易的保密性、真实性、完整性和不可否认性。目前国内几大商业银行，如工商银行、农业银行

和交通银行等都采用了USBKey方案。 *** 黑客即使知道了客户的登录密码和支付密码，但如果没有USBKey在手，黑客还是不能够从你的帐户转出一分

钱。故这种身份认证方式可以很好地避免账号、密码被盗等可能出现的风险。USBKey方案的优点是安全性很强，但由于涉及到了硬件故其成本较高，且

USBKey使用前需要先安装驱动。对于一些常常出差或者需要在不同机器上使用USBKey的客户来说，由于计算机各种操作系统(如Windows和

Linux)和硬件(各种不同品牌机器)的差异性，可能在安装时会遇到一些兼容性问题，这大大减低了用户的体验满意度。

3.

短信认证方案。目前一些大型电子商务网站往往采取“静态密码+短信认证”方案。该类系统使用数字物理噪声源产生完全随机变化的动态(验证)密码,并通过无

线通信方式将该动态密码发送到用户的无线通信终端(寻呼机或移动 *** 等)

上。譬如支付宝网站在用户支付小额金额时只需输入支付密码，但额度如果超过一定额度(如200元)，则支付宝网站向用户手机(注册时登记的号码)发一条验

证短信，然后用户在网站上输入6位的手机验证码和支付密码后才能完成付款。采用这种身份认证方式的优点是既保证了小额支付的快捷性，又保证了大额支付的安

全性。但由于该认证系统的实时性和稳定性在很大的程度上依赖于无线通信网的状态，当 *** 出现拥塞时将导致验证密码传输会有较大的时延,甚至将使系统无法正

常完成身份认证过程，而且由于短信的发送会产生大量的短信费用，对中小型电子商务网站来说仍然是不小的开销。

4.

动态口令认证方案。动态口令又称为一次性口令OTP(One-Time-Password)，其特点是用户根据服务商提供的动态口令令牌的显示数字来输入

动态口令，而且每个登录服务器的口令只使用一次，窃听者无法用窃听到的登录口令来做下一次登录，同时利用单向散列函数(如

Sha-1算法等)的不可逆性，防止窃听者从窃听到的登录口令推出下一次登录口令。中国银行就是采用了动态口令认证方案。该方案的特点使用简单，用户无须

安装任何驱动，操作时只需输入当前显示的6位动态口令即可。其不足之处是安全性没有USBKey强，如在2011年上半年，全国各地出现了多起中国银行动

态口令泄露安全事件。黑客们首先设计了多个钓鱼网站，然后引诱中银用户输入登录密码和动态口令。动态口令虽然为一次性口令，但其在60秒之内是可反复使用

的。故黑客得到了用户的登录密码和动态口令之后，只要在1分钟内登录进真正的中银系统后就可以完成转账等窃取用户资金的操作了。

再参考 你就完全知道了

现在最多使用的是CA和数字证书两种技术

大学生入侵电商平台隔空盗走73万，这些学生会被如何惩罚？

这些学生目前已经被警方抓捕归案，而且也依法刑拘了。他们也要被没收所有的违法所得，并且也要为自己的行为付出非常严厉的代价，这起案件目前还在侦办过程中。一家 *** 平台的负责人报警说自己的平台才刚上线三天，自己账号里面的73万元就全部没有了。于是当地的警察便立刻开始立案侦查，为了能够尽快的找出嫌疑人，警方成立了专门的调查小组，而且还花费了很长时间。

最后终于抓到了这些入侵平台的黑客。竟然是三名在校的大学生，也让很多人都感觉到非常的震惊。不得不说这三名大学生的确非常的优秀，而且技术也非常的高，但是他们并没有把自己的天赋运用到正确的途径上，而是做了这种违法的事情。警方为了能够知道究竟是谁入侵了电商平台，用了很多种办法，因为在黑客入侵了数据库之后，把上面的数据全部都给抹除干净了。

警方一边调查着这些资金的流动走向，一边在对这些数据进行分析。虽然这个 *** 平台才上线了三天，但是会员已经达到了二十多万，所以警方就只能挨个对这些会员进行排查。虽然过程非常的艰难，但最后警方终于找到了这几名入侵的黑客。在警方找到他们的时候，他们正在家里吃完团圆饭，在奶茶店喝奶茶。于是这三个人便被警方一同抓获，带回了警局。

这三名大学生和他们的合作伙伴一共五人，全部都被警方给刑拘了，账款也已经被追回了。因为他们涉嫌盗窃和非法控制计算机系统以及隐瞒掩饰犯罪所得，所以被逮捕。虽然他们还是学生，但也已经是成年人了，所以他们也要为自己的行为付出代价，不仅要没收全部的违法所得，还有很有可能会面临有期徒刑。