自閉症前安全研究員因認罪駭入微軟、Nintendo免於入監

24歲的研究人員Zammis Clark承認2017年初駭入微軟、Nintendo網路,加上患有自閉症,英國法院改判免入獄服刑。

The Verge引述英國檢察官起訴文件報導,時任安全廠商Malewarebytes安全研究人員的Clark,於2017年1月利用微軟員工的用戶帳密存取微軟一台伺服器,上傳webshell執行指令等惡意程式,藉此遠端存取微軟內部網路至少三個星期。之後又在微軟網路中數台與Windows新版開發有關的伺服器上,搜尋並下載機密資料。

檢察官指出,Clark總共從微軟伺服器上下載了4.3萬份檔案。這些伺服器包含Windows內部測試版本,以及準備釋出給開發人員的早期beta版。Clark一共在微軟伺服器上搜尋Windows版本代號及版號大約7,500次,取得特定版號的Windows產品資訊。他還將微軟伺服器的存取帳密公佈在聊天室上,供其他駭客存取微軟機密資訊。之後共有包括德、法、阿拉伯聯合大公國等國駭客,也成功存取微軟伺服器。

同年6月在微軟安全團隊、聯邦調查局、歐洲警察及英國警方的合作下,在Clark家中電腦查獲他竊取自微軟的檔案。

Clark之後獲得保釋卻又故態復萌,於2018年3月駭入日本遊戲機業者Nintendo的網路。他透過VPN網路及相同的惡意程式駭入Nintendo存放遊戲開發專案的伺服器,成功竊取2,365筆存取這些系統的帳密,後者直到5月才發現被駭。

Clark遭控多項電腦犯罪罪名。Nintendo估計其資料外洩所造成經濟損失為90到180萬美元,微軟評估的損失達到200萬美元。

事實上,2015年Clark也曾入侵玩具公司VTech網路資料庫,竊走上百萬筆用戶,包括兒童的姓名、相片、生日及地址,後者後遭罰款65萬美元。

不過Clark的辯護律師指稱他患有自閉症且有臉盲問題,一旦入監可能會遭致其他受刑人霸凌之虞。在其父母求情及承諾復健計畫後,法官判處Clark 監禁15個月,可緩刑18個月,以及5年的重罪預防令,一旦再犯將處以罰金。

原文來自 iThome Online