内某公立大学资工研究所一名研究生与计算机高手在网络辩论信息安全问题,为证明自己观点正确,骇入对方负责维护的音乐网站资料库,将所有会员姓名变成空白;他赢了打赌,却触法;台刑事部门发现他留下的漏洞,循线查获他依妨害计算机使用罪嫌送办。
据了解,这名研究生高中时曾拿下台北市软件竞赛前三名,他被逮后辩称并未将骇得的会员资料拿来作不法用途,只是一时意气之争,想证明自己的想法是对的;不过刑事部门人员告诉他,无故入侵他人计算机并窜改资料就是触法,依法必须究办。
警方指出,这名研究生去年底在网络上与另名计算机高手辩论信息安全问题,他表示信息安全首重程序撰写是否杰出,但对方说资安问题要重视稽核与维护,两人争辩不休,研究生最后查出对方任职并维护的一处古典音乐网站,当黑客证明自己观点。
这名研究生侵入音乐网站会员资料库后,将12000多名会员姓名改成自己的名字,但因怕被发现身分又将所有会员姓名改成空白。音乐网站发现后立即报警,刑事部门发现黑客相当高明,但无意间留下个漏洞,花一个月反向追查,找到研究生入侵途径循线逮捕他。他告诉警方,岛内还有很多网站有类似漏洞。
警方说,“信息工程”碰上“信息管理”就像“东邪”强碰“西毒”,谁也不让谁;研究生利用一种SQL injection(资料隐码攻击)手法,在SQL指令中嵌入一个恶意程序码,通过防火墙和身分验证机制取得资料库系统的控制权,以达资料库毁损或资料流失的目的。
