实易热讯 :: 实易文章 :: 网络安全 :: 21岁黑客偷淘宝网账号　曾指出支付系统漏洞

　　新华网浙江频道8月20日电 “您好，久仰大名，我对您的敬仰有如滔滔江水，绵绵不绝……”这是一封写给大名鼎鼎淘宝网创始人马云的信的开头，而写信的人是一个面临审判的“金融大盗”。
　　3个月前，这位“大盗”发现并利用淘宝网“支付宝”程序存在的漏洞，轻松窃得客户人民币共计21440元，然后在网上购买高档商品。
　　网上发帖指出“支付宝”漏洞
　　今年5月3日上午，在著名的购物网站淘宝网支付宝论坛上有人发出帖子，大意是该网站的支付平台“支付宝”有严重漏洞，帖子后面还附有联系人手机。
　　当天下午，淘宝网的客户服务员也收到了类似的帖子，并与发帖者联系过，询问漏洞在哪里，同时要求对方与公司高层联系，但不知什么原因，公司高层没有与发帖者联系。
　　神秘“大盗”网上频频作案
　　直到5月6日，淘宝网工作人员才意识到事情不对劲，当天工作人员先后接到用户投诉电话，有用户称其收到短信，内容是自己支付宝账户已超支，而自己登陆淘宝网交易管理系统，发现没有进行交易，要求客服查明这笔钱被谁动用了。
　　淘宝网客户服务部查询了支付交易记录后，发现用户名为“gzzzzg”的会员用了这笔钱，公司客服根据这个会员登陆的IP地址进行查询，发现其登陆过多个支付宝账户。于是在报案的同时，冻结了这几个账户。
　　“大盗”今年只有21岁
　　也就在5月6日这天下午5点，警方在广州抓获正要取货的犯罪嫌疑人黄文造。让警方惊讶的是，对方竟是一个二十出头的年轻小伙，1984年9月出生，广东佛山人，担任过深圳一家塑胶公司的业务经理。
　　黄文造归案后说，自己平时非常喜欢在网上购物，生活用品也基本是从网上淘出来的，在担任塑胶公司业务经理时还极力推荐公司加入购物网站。今年5月3日上午，他在一家网吧上淘宝网时，发现自己的“qq81238”用户名的登陆密码忘记了，于是他就用淘宝网上的“找回密码”的功能，成功找回密码。在这个过程中，学过编程的黄文造意识到这个程序存在漏洞。随后，黄文造又发现通过这个程序漏洞能够破译密码，直接进入淘宝网用户的账号。
　　5月4日到6日的3天时间内，他先后破译3位淘宝网账户用户的密码，并订购了价格为8610元、7070元的两部手机及其他高档物品，但都没有来得及取货。
　　自称多家网站漏洞被其破译
　　21岁的黄文造从小就酷爱电脑，曾自己建立并发展过一个会员达13万人的网站，对软件和编程尤其精通。
　　据黄自述，他早在2002年8月份就发现《传奇》支付系统漏洞，2004年6月发现《泡泡堂》漏洞，被他发现漏洞的知名网站还有QQ跨站cookies的利用漏洞和QQ游戏币漏洞。
　　黄文造说，他发现自己喜欢的东西总爱出漏洞，淘宝网的支付宝也不例外。一开始黄文造也非常担心会有不良居心的人利用，并在支付论坛上发帖告知漏洞的存在，但没想到最后那个不良居心的人会是他自己。
　　看守所内写信给偶像马云
　　黄文造案件移交杭州市西湖检察院后，检方认为黄文造的行为已构成盗窃罪，且数额巨大，并可能要处三年以上十年以下有期徒刑，并处罚金。
　　6月6日，羁押在看守所内的黄文造提笔给马云写了开头提到的那封信。黄文造在检讨因为自己的行为给淘宝网名誉和经济上带来损害的同时，还在信中指出淘宝网存在的两大漏洞，并指出解决办法。
　　在给马云信的最后一段话里，黄文造说“马总（云），我也很喜欢西游记，很喜欢您把阿里巴巴员工比做唐僧师徒……常言道：人非圣贤，孰能无过，孙悟空大闹天宫，并盗窃蟠桃，后来被如来佛关押在了五指山下。天将降大任于斯人也，必先苦其心志，劳其筋骨，饿其体肤……唐僧把孙悟空从五指山下救出，收为徒，最终完成取经大任”。
　　“可是，我的唐僧在哪里呢？”黄文造在信末发出感叹的同时还祝阿里巴巴公司能够上市成功。
　　目前，黄文造案已进入审查起诉阶段，并于近日公开开庭审理。