他曾以高校“平均脸”轰动网络,让大家惊呼电影《社交网络》里的桥段也能成真;又通过拨号声音破解360总裁周鸿祎手机号,博得周鸿祎、李开复等互联网大佬 的青睐。他就是现代快报多次报道过的刘靖康——南京大学大三学生,一个鼎鼎大名的90后“技术帝”。这一次,他似乎玩得更大了:他的一篇名为《如何通过入 侵老师邮箱拿到期末考卷和修改成绩》的日志,在人人网上疯狂转发,并最终发酵到微博上。
刘靖康
网友评议外院女孩最漂亮
破解电话号码截屏图
人物档案
刘靖康,男,1991年出生,是广东省中山市人,2010年进入南京大学学习。
入侵老师邮箱 网上发布攻略
“这个漏洞是无意中发现的,我只是验证了它可行了,但最后是没有干坏事的。”12月26日晚,刘靖康将这篇名为《如何通过入侵老师邮箱拿到期末考卷和修改成绩》的日志,发布在自己的人人网主页上,“目测很多高校的邮箱系统都有这样的漏洞,欢迎其他同学们去实践和验证,但不要做坏事。”随后,刘靖康在日志中图文并茂地展示了他破解邮箱漏洞的过程,并且贴出了邮箱内部截图,里面清晰地显示出“考试A卷”“考试B卷”等文件主题名。
据了解,这个邮箱是刘靖康所在的南京大学软件学院教务员邮箱,任课老师会将考试试卷和成绩一并发给教务员,由其整理汇总。为了证明自己确实没有“做坏事”,刘靖康还特地在日志中说明:“我们年级下学期才考试,我真的没有打开或下载过,里面任何一封邮箱和试卷。”除了查阅试卷,刘靖康还在日志中提出了一个更吸引眼球的尝试:修改成绩。但对于这个技术行为,刘靖康只简略说明了其可行性,并没有进行验证。
我真的没恶意 只想测试漏洞
“我真的没有恶意,只是想测试一下漏洞。”昨天,刘靖康对现代快报记者一再强调,自己是想看看能否给学校的网络维护系统提供一些帮助,对因此给学校带来不好的影响,表示抱歉。一位与刘靖康熟识的技术朋友姜非(化名)说,刘靖康试验成功后就在人人网上发状态,有人开玩笑“求期末考试过”,他当即就拒绝了。
“如果他要作弊,自己一个人偷着乐就行了。”姜非解释,从刘靖康的破解日志上,并不像很多人担心的那样,可以模仿复制,轻易便能学会如何攻击邮箱。“他把关键的代码和过程都略过了,一般人根本不懂如何跳到下一步。”但刘靖康这种自证清白的做法还是让很多网友不买账:“他既然有这个技术,就有做这件事的能力,不能百分百保证”。
我这次太冲动太浮躁,对不起
“在此,为我的冲动、浮躁和做事方式,向担心我的人、受到不好影响的人,以及因此事受损的软件学院,表达我的歉意,对不起!而事情的结果会按照学校正常的处理流程得出。另外我还是希望此事对院邮,其他学校的系统和受日志启发去思考和验证的同学会有积极的结果。”昨天下午,刘靖康对于这件事做出了一个最后回应,便开始重新投入生活。
学校表示:这事正按程序处理
12 月27日,刘靖康意识到网络的发酵超出他自己的想象。“日志被要求删掉了”“辅导员给父亲打电话,说可能要开除我”“非常抱歉, 刚刚关于退学的状态,是我父亲把老师的意思理解并传达错了”……连续更改好几条状态之后,许多关注到这件事情的南大学生、技术爱好者依然守在人人网上,希望能得到确切的答案。南京大学软件学院表示暂不接受采访,这个事情正在处理中。网上盛传“被开除”谣言,也让许多关心刘靖康的网友们惊呼“处分会不会太重了”。还有一些网友则认为,相信学校不会开除他,年轻人都会犯错,相信学校会宽容。
说法
求知精神可嘉
但要守住底线
“该同学的行为事实上属于非法侵入计算机信息系统。”江苏汇商律师事务所律师吕剑峰说,但学校老师的邮箱系统,不属于“国家事务、尖端科学技术领域的计算机信息系统”,因此还不构成刑法上的非法侵入计算机信息系统罪。另外,根据治安管理处罚法的有关规定,刘靖康侵入信息系统后,没有造成实质危害,“特别是在他日志中,对披露的信息,相关图片进行了屏蔽 ,所以也不违反治安管理处罚法的行为,不用承担行政责任。
不过,吕剑峰强调,这肯定构成了侵权。吕剑峰表示,“所以作为学生,富于求知精神可嘉,但是尚要守住道德和法律底线。”
说事
@IT莲接:能教出这样的学生,南大确实牛!
@摩西小萍:南大软件学院的老师们给这孩子一个A+。
@掌中蓝天-平源:完全很意外,南大竟然会用邮箱发试卷和成绩,并且还毫无保密措施。
@黑客老鹰:大学网络里这类系统漏洞多了去了。
建议
学会正当处理“漏洞”
现代快报记者询问了此前曾破解微信密码漏洞,还在凌晨问候过马化腾的资深黑客“only_guest”张瑞冬。他是国内知名的漏洞报告平台“乌云网”上“查漏补缺”的高手,也是黑客圈子里的“白帽子”(不会恶意利用计算机系统或网络系统中的安全漏洞,而是通过提示和公布等方式,促进漏洞的修补)。
面对刘靖康这次可能要面临的学校处分,张瑞冬给出自己的建议:“在发现这样的问题后,最好先和学校的管理人员沟通,让他们先把这个漏洞修补了。修补之后再去公开整个漏洞的利用过程。而不是在对方未修补之前就把问题公开。”
国内邮箱
几乎100%有漏洞
“目前国内邮箱,基本上100%存在漏洞。”东大网络管理与网络安全专家杨望老师表示,他也注意到这位学生在网上发的帖子。老师邮箱密码之所以让这个学生破译了,主要还是邮箱的安全系统存在漏洞。
如何防范
邮箱被入侵?
而针对普通用户如何防范邮箱被入侵,张瑞冬则教了个方法:“我们要养成一个良好使用邮箱的习惯,例如我们在不用这个邮箱的时候,一定要记得点击退出邮箱或者注销登录这样的功能。不要去查看来路不明的邮件,还有一些标题很有诱惑力的邮件不要轻易查看。”
他的“杰作”
2012年7月
第一次出手
制作“平均像” 获封“标准哥”
他轻易下载了全校7000多名学生的照片,将学生证件照的轮廓提取出来,然后将之平均,填充平均肤色,他制作了全校30个院系学生的“平均像”,各系男女各一张。照片都是人头像,类似登记照,画像普遍比较漂亮,只是照片边缘有点模糊。网友评议哪个院系女孩最漂亮,最后得出的结果是外语学院。他因此获封“标准哥”。
2012年9月
第二次出手
听音辨号 获封“技术帝”
他通过一则采访视频获取了记者拨打 360总裁周