他曾以高校“平均脸”轰动网络,让大家惊呼电影《社交网络》里的桥段也能成真;又通过拨号声音破解360总裁周鸿祎手机号,博得周鸿祎、李开复等互联网大佬的青睐。他就是现代快报多次报道过的刘靖康南京大学大三学生,一个鼎鼎大名的90后“技术帝”。这一次,他似乎玩得更大了:他的一篇名为《如何通过入侵老师邮箱拿到期末考卷和修改成绩》的日志,在人人网上疯狂转发,并最终发酵到微博上。
刘靖康
网友评议外院女孩最漂亮
破解电话号码截屏图
人物档案
刘靖康,男,1991年出生,是广东省中山市人,2010年进入南京大学学习。
入侵老师邮箱 网上发布攻略
“这个漏洞是无意中发现的,我只是验证了它可行了,但最后是没有干坏事的。”12月26日晚,刘靖康将这篇名为《如何通过入侵老师邮箱拿到期末考卷和修改成绩》的日志,发布在自己的人人网主页上,“目测很多高校的邮箱系统都有这样的漏洞,欢迎其他同学们去实践和验证,但不要做坏事。”随后,刘靖康在日志中图文并茂地展示了他破解邮箱漏洞的过程,并且贴出了邮箱内部截图,里面清晰地显示出“考试A卷”“考试B卷”等文件主题名。
据了解,这个邮箱是刘靖康所在的南京大学软件学院教务员邮箱,任课老师会将考试试卷和成绩一并发给教务员,由其整理汇总。为了证明自己确实没有 “做坏事”,刘靖康还特地在日志中说明:“我们年级下学期才考试,我真的没有打开或下载过,里面任何一封邮箱和试卷。”除了查阅试卷,刘靖康还在日志中提出了一个更吸引眼球的尝试:修改成绩。但对于这个技术行为,刘靖康只简略说明了其可行性,并没有进行验证。
我真的没恶意 只想测试漏洞
“我真的没有恶意,只是想测试一下漏洞。”昨天,刘靖康对现代快报记者一再强调,自己是想看看能否给学校的网络维护系统提供一些帮助,对因此给学校带来不好的影响,表示抱歉。一位与刘靖康熟识的技术朋友姜非(化名)说,刘靖康试验成功后就在人人网上发状态,有人开玩笑“求期末考试过”,他当即就拒绝了。
“如果他要作弊,自己一个人偷着乐就行了。”姜非解释,从刘靖康的破解日志上,并不像很多人担心的那样,可以模仿复制,轻易便能学会如何攻击邮箱。“他把关键的代码和过程都略过了,一般人根本不懂如何跳到下一步。”但刘靖康这种自证清白的做法还是让很多网友不买账:“他既然有这个技术,就有做这件事的能力,不能百分百保证”。
我这次太冲动太浮躁,对不起
“在此,为我的冲动、浮躁和做事方式,向担心我的人、受到不好影响的人,以及因此事受损的软件学院,表达我的歉意,对不起!而事情的结果会按照学校正常的处理流程得出。另外我还是希望此事对院邮,其他学校的系统和受日志启发去思考和验证的同学会有积极的结果。”昨天下午,刘靖康对于这件事做出了一个最后回应,便开始重新投入生活。
学校表示:这事正按程序处理
12月27日,刘靖康意识到网络的发酵超出他自己的想象。“日志被要求删掉了”“辅导员给父亲打电话,说可能要开除我”“非常抱歉, 刚刚关于退学的状态,是我父亲把老师的意思理解并传达错了”……连续更改好几条状态之后,许多关注到这件事情的南大学生、技术爱好者依然守在人人网上,希望能得到确切的答案。南京大学软件学院表示暂不接受采访,这个事情正在处理中。网上盛传“被开除”谣言,也让许多关心刘靖康的网友们惊呼“处分会不会太重了”。还有一些网友则认为,相信学校不会开除他,年轻人都会犯错,相信学校会宽容。
说法
求知精神可嘉
但要守住底线
“该同学的行为事实上属于非法侵入计算机信息系统。”江苏汇商律师事务所律师吕剑峰说,但学校老师的邮箱系统,不属于“国家事务、尖端科学技术领域的计算机信息系统”,因此还不构成刑法上的非法侵入计算机信息系统罪。另外,根据治安管理处罚法的有关规定,刘靖康侵入信息系统后,没有造成实质危害,“特别是在他日志中,对披露的信息,相关图片进行了屏蔽 ,所以也不违反治安管理处罚法的行为,不用承担行政责任。
不过,吕剑峰强调,这肯定构成了侵权。吕剑峰表示,“所以作为学生,富于求知精神可嘉,但是尚要守住道德和法律底线。”
说事
@IT莲接:能教出这样的学生,南大确实牛!
@摩西小萍:南大软件学院的老师们给这孩子一个A+。
@掌中蓝天-平源:完全很意外,南大竟然会用邮箱发试卷和成绩,并且还毫无保密措施。
@黑客老鹰:大学网络里这类系统漏洞多了去了。
建议
学会正当处理“漏洞”
现代快报记者询问了此前曾破解微信密码漏洞,还在凌晨问候过马化腾的资深黑客“only_guest”张瑞冬。他是国内知名的漏洞报告平台“乌云网”上“查漏补缺”的高手,也是黑客圈子里的“白帽子”(不会恶意利用计算机系统或网络系统中的安全漏洞,而是通过提示和公布等方式,促进漏洞的修补)。
面对刘靖康这次可能要面临的学校处分,张瑞冬给出自己的建议:“在发现这样的问题后,最好先和学校的管理人员沟通,让他们先把这个漏洞修补了。修补之后再去公开整个漏洞的利用过程。而不是在对方未修补之前就把问题公开。”
国内邮箱
几乎100%有漏洞
“目前国内邮箱,基本上100%存在漏洞。”东大网络管理与网络安全专家杨望老师表示,他也注意到这位学生在网上发的帖子。老师邮箱密码之所以让这个学生破译了,主要还是邮箱的安全系统存在漏洞。
如何防范
邮箱被入侵?
而针对普通用户如何防范邮箱被入侵,张瑞冬则教了个方法:“我们要养成一个良好使用邮箱的习惯,例如我们在不用这个邮箱的时候,一定要记得点击退出邮箱或者注销登录这样的功能。不要去查看来路不明的邮件,还有一些标题很有诱惑力的邮件不要轻易查看。”
他的“杰作”
2012年7月
第一次出手
制作“平均像” 获封“标准哥”
他轻易下载了全校7000多名学生的照片,将学生证件照的轮廓提取出来,然后将之平均,填充平均肤色,他制作了全校30个院系学生的“平均像”,各系男女各一张。照片都是人头像,类似登记照,画像普遍比较漂亮,只是照片边缘有点模糊。网友评议哪个院系女孩最漂亮,最后得出的结果是外语学院。他因此获封“标准哥”。
2012年9月
第二次出手
听音辨号 获封“技术帝”
他通过一则采访视频获取了记者拨打360总裁周鸿祎手机时的拨号音,然后用软件将拨号音转换成频谱图,再通过软件放大其中拨号音的部分,从而获取到了手机号码,并和周鸿祎通了电话。创新工场董事长兼首席执行官李开复通过微博喊话:“这位同学,来创新工场吧!我有合适项目供你考虑。”他因此获封 “技术帝”。
他的“同行”
美国14岁天才“黑客”
20岁成了中情局特工
美国37岁男子科斯塔13岁时就是IT顾问,14岁因为犯下45项科技盗窃罪被当作“成人”判处45年监禁(包括侵入多家美国银行、美国通用电气公司和IBM公司的网络系统,盗窃机密信息)。一年之后却又幸运地获得缓刑。科斯塔年满18岁时,就被安排到了美国海军的情报部门,成为了一名情报分析师。20岁时,他又被安排到美国中央情报局工作,成了一名特工。当时的他要负责追踪北非军阀和中东地区激进部落酋长的电汇资金线索。除此之外,他还要和一些IT小组一起从外界盗取有用数据。