这是一个创建于 4481 天前的主题,其中的信息可能已经有所发展或是发生改变。
先说一下背景,我就读一个土建类的工科211学校,学校在网络这块一直比较差,到现在都不允许建自己的论坛。
具体是这样的,去年 我开发了一个微信公共平台账号,供我们学校学生使用,其中有一个功能是查成绩,用户输入账号、密码,由爬虫去教务网站采集,方便同学使用。还有就是,研究生的成绩,学校每年等到开学之后才公布,但是程序有漏洞,我也就及时给提供了。有上万人 在使用了,这个事情引起了学校几个部门重视,尤其是研究生院,都说要准备报案。
后来知道我是本校学生之后,研究生院就找我谈话,他们指控两点
(1)可能搜集用户账号信息
(2)将系统问公开信息,提供给用户
(2)我知道肯定是有问题的,现在也停止了 研究生成绩查询,但是(1) 我就不知道了,我这个就类似于一个辅助工具,用户提供账号、密码,系统代给他查询成绩,虽然目前我没有保存用户账号密码,但是我的确可以将这些信息保存下来。就这一点 有没有相关法律法规?我到底有没有违法呢?
具体是这样的,去年 我开发了一个微信公共平台账号,供我们学校学生使用,其中有一个功能是查成绩,用户输入账号、密码,由爬虫去教务网站采集,方便同学使用。还有就是,研究生的成绩,学校每年等到开学之后才公布,但是程序有漏洞,我也就及时给提供了。有上万人 在使用了,这个事情引起了学校几个部门重视,尤其是研究生院,都说要准备报案。
后来知道我是本校学生之后,研究生院就找我谈话,他们指控两点
(1)可能搜集用户账号信息
(2)将系统问公开信息,提供给用户
(2)我知道肯定是有问题的,现在也停止了 研究生成绩查询,但是(1) 我就不知道了,我这个就类似于一个辅助工具,用户提供账号、密码,系统代给他查询成绩,虽然目前我没有保存用户账号密码,但是我的确可以将这些信息保存下来。就这一点 有没有相关法律法规?我到底有没有违法呢?
第 1 条附言 2013-07-04 11:06:43 +08:00
目前,我还在提供其他几个学校的微信成绩查询服务,数据都是他们输入账号、密码,系统爬取他们教务系统数据,只是代采集,此外,还有一个可选的记住账号、密码功能。所以,现在我特别关心,我这个算非法收集用户信息吗? 进一步,就算是,我没有扩散,没有恶意使用,算违法吗?这方面有没有具体的法律法规? 目前 超级课程表、掌上课表这些应用 这都是这样干的
第 2 条附言 2013-07-04 14:25:19 +08:00
我们学校的问题,现在不怎么担心,我估计也等不到什么结果。我最关心的是,其他学校学校的服务还能不能提供,有没有法律
 | 1 lhx2008 2013-07-04 10:29:20 +08:00  2 可大可小啊,应该最多去喝喝茶,学校怎么处分就不清楚了 |
 | 2 manhere 2013-07-04 10:29:28 +08:00 25 你把成绩提前公开了,别人还怎么操作? 这才是核心。 |
 | 3 alexrezit 2013-07-04 10:32:24 +08:00 学校真傻逼, 赶紧退学算了, 什么脑残领导. |
 | 4 Luzifer 2013-07-04 10:32:27 +08:00 真相帝出现. |
 | 6 herolee 2013-07-04 10:33:14 +08:00 2楼真相帝 |
 | 7 vincentqi 2013-07-04 10:33:51 +08:00 人家门没关好,你就可以进去拿了?虽然你拿了是分给别人的 |
 | 8 feiandxs 2013-07-04 10:37:09 +08:00 什么学校,网址扔来,黑了拉倒。 |
 | 9 wy315700 2013-07-04 10:39:10 +08:00 1 啥学校啊 |
 | 10 rove 2013-07-04 10:45:11 +08:00 跟校领导沟通时态度先缓和下来,大不了配合学校撤销部分功能。做到这一步应该也有一定的技术经验和市场了,再开发别的功能嘛。 西安人帮顶:) |
 | 11 chaojie 2013-07-04 10:46:24 +08:00 没做好保密工作啊。报案什么的有点小题大做了吧,有造成什么不良影响吗,收费了吗? |
 | 12 0racleTink 2013-07-04 10:48:53 +08:00 直接开源就行了! |
 | 13 Wy4q3489O1z996QO 2013-07-04 10:48:54 +08:00 @vincentqi 这兄弟是五毛党吗? |
| 14 0racleTink 2013-07-04 10:49:30 +08:00 @manhere 真相帝 |
 | 15 sdjl 2013-07-04 10:51:45 +08:00 这个问题可以去问绿狗, 我想 如果只是发起一个http的get请求就能拿到的数据, 那么应该可以公开吧? |
 | 16 iqav 2013-07-04 10:52:35 +08:00 就那个第3点也是潜在风险。如果有证据确实你没有保存,也没啥事了。(我不懂法律,我只是这样认为) |
 | 18 icoder 2013-07-04 10:52:45 +08:00 这个不好定性的,如果真打官司你的胜率很大的 。没有证据证明你窃取账号 ,所有操作都是用户使用自己的账号、密码操作的,和你没啥关系。别担心,也就是吓唬吓唬你 |
 | 19 squallsdjl 2013-07-04 10:54:23 +08:00 校方就是SB,把服务器和域名全部放到国外去,把负责人换成国外的朋友。告诉他们出国打官司去啊 (Д)ノ |
| 20 iZr 2013-07-04 10:56:36 +08:00 我得你可以不管它。 到美求政治庇 |
 | 21 humiaozuzu 2013-07-04 10:57:31 +08:00 我也做过一样的事情,不过我大 SYSU 找我喝了茶抛了橄榄枝,没把我怎么样 =。= 如果你有类似 一键干掉教务系统,一键干掉全校电脑,一键干掉校园网 之类的可以和学校抗衡一下,如果告你就xxx他们 |
| 22 iZr 2013-07-04 11:00:15 +08:00 @humiaozuzu 我得可以搞。。。。 |
 | 23 lightext 2013-07-04 11:01:37 +08:00 “但是程序有漏洞,我也就及时给提供了” 这个比较关键,是通过直接http的get拿到的,还是什么手段? 其实这个不就是某人给我帐号密码,我上去帮他查成绩,只是“我”换成了机器而已。法律上LZ没问题的,倒是像2楼所说,影响到学校的潜规则了。 |
 | 24 wzxjohn 2013-07-04 11:02:44 +08:00 23333。报案也没用。你的行为好像还没有触犯刑法对于计算机犯罪的定义。。。 |
 | 26 solo7net 2013-07-04 11:05:55 +08:00 微信嘛 先推送用户说你要被喝茶了 可能以后要不能用了~~ 获得关注先 |
 | 27 hitigon 2013-07-04 11:10:52 +08:00 1.吓唬你为主,报案有点牵强,但中国的事不好说 2.要和校方谈条件,不要服软,也不要太激动 3.如果学校里有关系好的教授老师可以帮忙是挺好的,没有的话,你可以联系你的一万个用户了 4.V2exer如果有律师快来帮帮lz |
 | 28 printf37 &nbs; 2013-07-04 11:12:20 +08:00 上学时干过同样的事,结果学校通过网监部门找到我了,最后不得不当着校领导的面关站。 不要再想这些没用的了,马上停掉一切服务,去找领导检讨。 像我这所学校,找网监调查已经证明了他们的态度在这种事情上没有斡旋的余地,但是只要你配合,就不会继续追究责任。 |
| 29 printf37 2013-07-04 11:15:19 +08:00 如果你想长久的做下去,就应当注意保护自己,要时刻VPN或者TOR。 更!不!要!告!诉!别!人!你!做!了!什!么! 我就是在家维护时大意了。 你可千万别小看学校和有关部门的技术实力。 |
 | 30 halfbloodrock 2013-07-04 11:21:49 +08:00 自从当年的南师大陪舞事件之后,所有高校对学生的论坛,平台等管制严格很多了。。。 你也许没做错什么,但是就是这种自己建立的平台让学校紧张了。。。 |
 | 31 nsxuan OP @lightext 具体是教务系统,教师查看成绩页面的权限认证没有做,只要是登陆的用户都可以查看,只是学生这块没有这个链接,我分析出来了,就通过这个页面,教师一录入成绩,就能查的到 |
 | 35 Ultratude 2013-07-04 11:36:24 +08:00 本来就不行的吧。我们教授自己扫了下学校的端口,学校就报 911 了。虽然应该没那么简单。 |
 | 36 dndx 2013-07-04 11:44:43 +08:00 成绩算是学生的隐私,你需要证明没有通过漏洞非法获取了他人的成绩信息。 如果你可以证明所有学生都是自愿使用自己的帐号密码获取了自己的成绩信息,那么后果应该不会那么严重。 当然,如果学校成心想整你,不管报不报警都有的是办法。如果报警而且罪名成立,那么后果会更加严重,比如会影响到你以后出国签证。 本人非专家,不过建议这种情况下,在咨询律师之前,不要再有太多动作。 |
 | 37 blankyao 2013-07-04 11:48:31 +08:00 不用担心,这个如果违法的话,那搜索引擎岂不是也违法了 |
 | 38 mengyang 2013-07-04 11:59:24 +08:00 自古二楼出真相啊 |
| 39 humiaozuzu 2013-07-04 12:06:11 +08:00 对了,超级课程表就在我隔壁 2333 |
 | 40 Mak 2013-07-04 12:11:11 +08:00 如果这样就可以到美国寻求政治庇护,那还是挺爽的呀 |
 | 43 txx 2013-07-04 12:37:50 +08:00 想想自动取款机有问题,你不小心多取出来钱了,你不还给国家 都能把你抓进去。。。 这种事 就淡定吧 |
| 44 lightext 2013-07-04 12:39:29 +08:00 1 @humiaozuzu 问问他们团队有什么方法木有,他们团队应该有遇到相似的问题吧? |
 | 45 chairuosen 2013-07-04 12:42:53 +08:00 傻逼领导,你觉得他们懂法律?无证据的指控算诽谤。 |
| 46 humiaozuzu 2013-07-04 12:56:40 +08:00 via iPhone @lightext 他们通过帐户密码获取课程表没有违反规定 |
 | 47 Semon 2013-07-04 12:59:54 +08:00 学校敢报案你就上微博写故事,保证舆论倒向你这边 |
| 49 nsxuan OP @humiaozuzu 那获取成绩呢 |
| 50 humiaozuzu 2013-07-04 13:07:15 +08:00 @nsxuan 如果是学校系统也能获取到的,不是通过漏洞提前获取之类的就没事 |
| 51 nsxuan OP @humiaozuzu 嗯,研究生这块的已经去掉了,其他的 都是正常获取的 |
| 52 alexrezit 2013-07-04 13:08:59 +08:00 @humiaozuzu 我怎么觉得楼主被威胁的重点不在 "获取", 而在 "提前"... 只是对潜规则产生了阻碍吧... |
 | 53 FarBox 2013-07-04 13:16:06 +08:00 4 1, 找自己的辅导员,一般辅导员不会希望自己管得学生出事。 2,增加用户使用协议,将责任转移;如果不放心,停止服务。 3,销毁任何有可能被他们采集为证据的信息,包括混淆信息,比如混淆你现在的数据库,提供的查询的信息是不准确的…… 4,死不承认是未公开的信息,就说是用自己的账号(也不知道怎么回事就能)抓取的,或者说自己构建的模型自动瞎猜的;死不承认收集用户信息。 5,有勇气的话,就去找校长,把这件事情了了;但涉及关键事实,记住,死不承认。 6,咨询真正的律师,你就是在微博上找律师,也比在V2EX上找回复要靠谱很多。 7,要写检讨书的时候,态度要真诚;但是关键事实要死不承认;也别想着“将功赎罪”帮着找漏洞,某些部门的领导不会这么开明的。 另外,你应该能够正视学校后台漏洞的严重性问题(如果你挖得再深一点的话),通过一定的方式,你可以获取几乎所有学生的(包括已经毕业的)历年成绩、甚至家庭住址、身份证号码、入学照片等信息。 对,你如果能获得某些教师的身份信息(授权)的话,你还能去改掉他们学生的成绩(在他们提交给教务处之后但未冻结时)。 明知国内的学校多以恶意揣摩自己的学生,你却让别人知道自己掌握这样漏洞的可能性;你傻了么? 我们有朋友在大学时就发现过这样的漏洞,但未改过别人成绩,也不曾告诉过别人,甚至都不会想去告诉教务处他们的系统太烂。他说自己胆小,还有太多的事情要做,不愿在这个小事上冒险把自己赔进去。 私以为,这样才是明知的。冒险精神,有些时候是留给傻子的一种自我安慰。 另外,也知道有极个别的朋友甚至收费帮人改成绩的;没有被逮着,过了好些年再说起来,确是一场历险与谈资。但是,这个风险与收益太不相符了。 |
 | 54 walleve 2013-07-04 13:17:43 +08:00 谈合作, 把你的东西贡献给学校,同时协助学校做漏洞修复,并且接管系统的维护和管理工作。 同时,你可以利用微信来忽悠一下学校,让学校以后开放微信成绩查询。 |
| 55 nsxuan OP @FarBox 先谢谢你, 我现在想明白了,学校知道我是本校学生,就肯定不会报案抓我了,他们不会搬起石头砸自己的脚。现在就是给不给我处分的问题,研究生院找我谈话,我承认了下错误,并停止了查询,他们让我写了份情况说明,在这个上面写了 为同学服务,深受学生欢迎,我没承认任何错误。 在他们结果下来之前,我还不想请我导师帮忙,同时也没有在微信上 通告这件事件。 |
| 56 nsxuan OP |
 | 57 ccbikai PRO 不会是正方系统吧? |
 | 62 kedron 2013-07-04 14:11:33 +08:00 这不就是校内版的维基解密么。 |
| 63 humiaozuzu 2013-07-04 14:13:09 +08:00 @alexrezit 可能是吧,该成就方便出国什么的 |
 | 64 nVic 2013-07-04 14:14:37 +08:00 via iPad 学校不敢起诉的,这个不用怕。成绩只要可以查询了,就进入公共领域,你不要说漏洞,就是程序自动收集,用户自愿提供。学校p都不敢放,要知道领导的胆子可不大。 |
 | 65 fange01 2013-07-04 14:16:38 +08:00 1 @FarBox 不得不说,53楼说的非常有道理。作为一个曾经经历这种事的人:改成绩被开除,感同身受。说几点感受 1.国内不会像facebook电影《社交网络》那样,有机会反驳。如果承认了,没有任何机会反悔。学校的行政化非常严重。。如果当时我不承认这些事,并且格了硬盘,啥事可能也没了。 53楼说的:冒险精神,有些时候是留给傻子的一种自我安慰。的确如此。不要幻想会有什么奇迹,远离它。不要谈合作,那是扯犊子的事。 |
 | 66 liuyao729 2013-07-04 14:16:50 +08:00 先停了吧,如果真报警,学校肯定有关系。不知楼主有没有发现本来通过的,结果被压下去的。以此做为谈判资本 |
 | 68 seeker 2013-07-04 14:20:11 +08:00 理想的做法:把事实全部公开!然后该怎么办怎么办。 但是,哎。祝福楼主把。 |
 | 70 citydog 2013-07-04 14:36:13 +08:00 到美求政治庇 +1 |
 | 71 won 2013-07-04 14:38:10 +08:00 找找上头的人给打个招呼,错误就变成贡献了 |
 | 72 cyr1l 2013-07-04 15:44:20 +08:00 楼主你没有错, 错的是世界 ! |
 | 73 aerolqr 2013-07-04 16:03:19 +08:00 我们学校也有人做了微信公众号查询的,之前网络还有报道,学校似乎也没什么反应。 http://www.ifanr.com/260996 |
 | 74 jacky45 2013-07-04 16:37:42 +08:00 via Android 怎么感觉这么像我们学校 |
 | 75 leegorous 2013-07-04 16:39:51 +08:00 注意个人行为是必须的。至于报案什么的,这在中国,能不能立案都是个问题,就没必要担心了。 |
 | 76 detailyang 2013-07-04 16:41:17 +08:00 2L真相 |
| 77 ccbikai PRO 我觉得这个发生在我们学校,团委都会帮忙宣传的(也叫招安吧,但你不能用漏洞) 以前学生做过安卓版的,不过没有你做得好。学校都宣传了 |
 | 78 chemhack 2013-07-04 16:50:17 +08:00 当年全校几百老师的教务系统密码都是12345这种事情我会乱说么。。。。。 |
 | 79 chenshaoju 2013-07-04 17:19:06 +08:00 这SB学校,这种情况应该是招安才对,还报案,那天自己的系统被未知人士删光了就知道跳脚了。 我觉得目前的情况应该是:绝对不要承认自己“入侵”,必须说是用户主动提交帐号密码(如果有),并且没有存储用户信息,并且并没有以任何方式改变成绩,仅仅是查询。 |
 | 80 gtalk 2013-07-04 17:19:54 +08:00 潜规则 2楼真相帝 |
 | 81 jamiesun 2013-07-04 17:22:05 +08:00 资讯律师。 很经典的那两句台词: “你有权不说话,但你现在所说的每一句话都将成为陈堂证供” “在我未见到我的律师前,我不会回答你任何问题的” |
| 82 jamiesun 2013-07-04 17:23:59 +08:00 2 我晚上回家帮你咨询下我的律师。 |
| 83 nsxuan OP @jamiesun 谢了,我现在知道 用户输入账号、密码 通过我的系统查询,而且用户量巨大,我是否违法,有没有相关法律法规 |
 | 84 ovjaywang 2013-07-04 17:40:11 +08:00 我们学校也有这样类似的通过微信自己输入用户名密码绑定教务管理系统的。。。貌似还挺火已经已经好几w的用户群了好接受了好多媒体的专访- -这方面如果确凿争取没有收集用户个人信息绝对没什么问题的吧。。况且有个app超级课程表也是通过教务系统绑定获取课程表的。。这方面很多人在做啊而且市场很大。。如果是有问题就应该是提前获取成绩那个了。。水略深 |
| 85 chemhack 2013-07-04 18:29:38 +08:00 @ovjaywang 提前获取成绩那个水是够深的,学校真想搞你的话就给定个密级,马上就能用保密法来整你了,就成刑事案件了。 |
| 86 jamiesun 2013-07-04 20:00:39 +08:00 10 帮你资询了一下, 第一点问题不大,首先学生用户密码实际属于学生资产,在了解目标应用的情况下,学生自己输入用户和密码是自愿行为(当然如果你有免责声明更好),你从公开网站上获取信息也是正常行为,其次你没有利用应用来牟利,没有传播扩散泄漏学生密码,及时你保存了密码也没有问题。如果说真有问题,那应该是学生来和你扯信息隐私问题,而不是学校,这是一个主体问题。 第二点的问题是,你利用了学校系统的漏洞,这算是一种入侵行为,但是目前中国在计算机互联网相关的立法很不全面,入侵行为最后要承担什么责任,很大程度上看结果,即你的入侵行为给学校带来了什么损失,财产损失吗,应该没有,人身信誉侵害吗,好像也没有,其实也就是你的行为扰乱了学校的正常教学次序。这个结果很难上升到民事或刑事责任。 另外,那到底算不算系统漏洞,也需要有个明确鉴定。这方面的法律太不健全了。不是系统漏洞,那就不是入侵行为。比如说你可以举证证明,研究生本来就可以查到成绩,学校自己以为没有这个功能。系统供应商也不愿意自己的系统曝出漏洞还被扩散的。 我个人觉得,走法律流程的可能性不大,学校方面处分可能性较大。学校采取什么措施也和你个人的态度有关。相信很多人都劝你和学校调解,你适当妥协下,大事化小,学校要面子,你的行为让学校感到自己系统的脆弱,让他们难堪和恼怒。 我也在想换了我,我会怎么做,我想我肯定是会把这个篓子越捅越大,哈哈。因为我自己现在就是个中途退学的。当然这不代表我鼓励你这么做。你怎么做最终还是你自己的性格决定。 一旦准备启动法律流程,那就要注意保留相关证据,谈话录音等等。 如果学校不起诉你而直接严厉处分甚至开除你,那么你应该起诉他们。 如果你真的坚持强硬到底,那么我推荐几个选择,求助一些公益性的法律团体,这个有的。另外求助于公众媒体,通过微博客等社交平台扩散,建立专门的维权站点,扩大影响,我想全中国的程序员们不会坐视不管的。同时也求助你的校友们为你声援。 其实,学校算个P啊,中国教育这么落后,那些学校难辞其咎。 如果你最终受到不公正的处分,我认为这是对中国程序员的侮辱。 |
 | 87 jamiesun 2013-07-04 20:08:20 +08:00 |
 | 88 cyio 2013-07-04 20:43:57 +08:00 提醒下,知乎上有很多律师。专业问题,在这里提,效果示必好。楼主让我想起扎克伯格在哈佛的事了。 |
 | 90 powerfj 2013-07-04 20:47:18 +08:00 去掉敏感功能,改为收费。。 |
 | 91 likuku 2013-07-04 21:05:09 +08:00 LZ你没法证明自己清白,而官方想找你麻烦,是不需要理由的,没有证据可以给你量身订造。 上面有人给你支招说找律师什么,但这些「法律」手段的前提是要在真正以法律为唯一有效规则的游戏环境里。 |
 | 94 j 2013-07-04 22:29:03 +08:00 网肩什么的压根不关心这种事,他们的权利非常有限并且都在忙着给自己找钱途,否则中国就不会有那么多ddos攻击了. 你的领导要想出动“公家”除非是拍出钱来推磨。你就衡量一下你这个事儿是否值得人家花银子就可以了。 |
 | 96 tangzx 2013-07-05 05:54:13 +08:00 via iPhone 吓吓你不会的,之前我都注入了把自己成绩都改了半年后学校也是来威胁我我老老实实把漏洞和注入纪录给了他们这事儿后来就不了了之了 |
 | 97 lyric 2013-07-05 07:03:28 +08:00 via Android @tangzx 你太大意了。如果你真心想改成绩,应该使用跳板入侵,然后一次改动掉几百人的成绩(随机加或者减若干分即可,自己的成绩手工改,但是要在加减范围内),就行了。 哈哈不过这么搞大概会逼学校重新录入成绩 |
| 99 chemhack 2013-07-05 08:48:40 +08:00 1 @nVic 招生考试试卷考试开始前是绝密级,结束前都是机密级,考试结束后半年以内都是机密级。成绩他们想在公开前订个密级也是可以定的,很多学校都是副部级的,定个密级的权限当然是有的,要不然好多人的毕业论文都没法做。哦,对,还有很多学校给往年考研试卷都定了密级哦。。。 |
| 100 chemhack 2013-07-05 08:51:07 +08:00 我只是提醒楼主,别跟学校太较真,把你送局子里应该是不会的,但是随便给你穿穿小鞋很容易。这种东西,搞好了成果不是你的,出问题麻烦都是你的。 |
Select Language