REA:遭DDoS攻擊 如何確定賠償范圍？_SUR

防范、處理攻擊事件，是各大平臺安全部門的日常工作。近日最高檢發布的第18批公報案例中，有一起利用DDoS攻擊手段引起服務器崩潰的案件。因為攻擊者銷毀證據，以及被害公司未能妥善保存造成損失的證據，給攻擊者的定罪和求償帶來了難度。通過這個案例，可以給安全部門的朋友們提個醒：工作中，技術非常重要，但懂點法律也非常必要！

基本案情

2017年初，被告人姚某某等人接受王某某（另案處理）雇傭，招募多名網絡技術人員，在境外成立“暗夜小組”黑客組織。

“暗夜小組”從被告人丁某某等3人處購買大量服務器資源，再利用木馬軟件操控控制端服務器實施DDoS攻擊。

2017年2—3月間，“暗夜小組”成員三次利用14臺控制端服務器下的計算機，持續對某互聯網公司云服務器上運營的三家游戲公司的客戶端IP進行DDoS攻擊。

受害互聯網公司網絡安全團隊在日常工作中監測到多起針對該公司云服務器的大流量高峰值DDoS攻擊，攻擊源IP地址來源不明。

攻擊導致三家游戲公司的IP被封堵，出現游戲無法登錄、用戶頻繁掉線、游戲無法正常運行等問題。

美國政府將制定國家人工智能戰略，向公眾尋求意見:5月24日消息，當地時間周二，拜登政府在尋求制定一項國家人工智能戰略以防范錯誤信息和該技術的其他潛在缺點之際呼吁公眾提供意見，從而在監管 ChatGPT 等新的人工智能工具方面又邁出一步。白宮表示，公眾在標準、法規、投資、改善信任和安全實踐等問題上提出的意見，將由白宮科技政策辦公室用來制定戰略，隨著人工智能技術使用的普及，該戰略將有助于指導聯邦機構。（《華爾街日報》）[2023/5/24 15:22:10]

某互聯網公司由于其攻擊，造成向游戲用戶賠付11萬余元；并且為恢復服務器的正常運營，組織人員對服務器進行了搶修并為此支付4萬余元。

機關陸續將11名犯罪嫌疑人抓獲。偵查發現，“暗夜小組”成員為逃避打擊，在作案后已串供并將手機、筆記本電腦等作案工具銷毀或者進行了加密處理。

（DDoS攻擊：是指黑客通過遠程控制服務器或計算機等資源，對目標發動高頻服務請求，使目標服務器因來不及處理海量請求而癱瘓的網絡攻擊。） 

判決結果

根據（2018）粵0305刑初418號刑事判決書：

TreasureDAO推出新的創作者計劃Treasure Create:3月8日消息，去中心化游戲生態系統 TreasureDAO 宣布推出新的創作者計劃 Treasure Create，旨在培養 Treasure 生態系統和游戲中的優秀視頻內容創作者社區。

作為官方的 Treasure Creator，內容創造者可以利用 Treasure 的 15 萬以上玩家和游戲的大型社區來增加曝光率，并獲得諸如 Allow List、游戲內道具、游戲測試的早期訪問以及與其他創造者合作的機會。目前該計劃已與 10 位早期創造者合作，并正募集更多的內容創造者加入 Treasure Create。[2023/3/8 12:49:03]

姚某某等人成立破壞計算機信息系統罪。

其中，姚某某被判處有期徒刑2年；其余10名被告人分別判處有期徒刑一年至二年不等。

宣判后，11名被告人均未提出上訴，判決已生效。

案例分析

本案中，對姚某某等人定罪，存在兩個重要問題：

第一個問題是：

姚某某等人銷毀了犯罪時使用的計算機等數據載體，如何證明行為與數據終端之間的關聯性？如何證明其攻擊與造成的損失之間具有因果關系？

Bybit推出萬事達卡支持的加密借記卡:金色財經報道，Bybit將推出一種新的借記卡產品，允許用戶使用加密貨幣進行支付和提現。該Bybit卡將在萬事達卡網絡上運行，并將允許在用于支付商品和服務時通過扣除加密貨幣余額進行基于法幣的交易。該服務首先推出了在線購物的免費虛擬卡，實體借記卡將于2023年4月推出。

該服務將與用戶賬戶上的BTC、ETH、USDT、USDC和XRP余額一起使用。支付將自動將這些初始加密貨幣的余額轉換為歐元或英鎊，具體取決于用戶的居住地。

此前消息，由于合作伙伴的服務中斷，Bybit已暫停了通過銀行支付的美元儲值，不再可用通過電匯（SWIFT）和電匯（美國銀行）的美元儲值。Bybit未在公告中透露銀行合作伙伴是否是Silvergate。（Cointelegraph）[2023/3/6 12:45:17]

本案事實中，某互聯網公司網絡安全團隊雖然監測到多起針對該公司云服務器的大流量高峰值DDoS攻擊，但并未鎖定攻擊源IP地址。

同時，“暗夜小組”成員為逃避打擊，在作案后已串供并將手機、筆記本電腦等作案工具銷毀或者進行了加密處理；未能從前述電腦等工具中提取到直接證明攻擊是設備發起的直接證據。

本案中，偵查人員從以下三個方面證明行為人實施了犯罪事實：

比特幣全網未確認交易數量為9006筆:金色財經報道，BTC.com數據顯示，目前比特幣全網未確認交易數量為9006筆，全網算力為264.02 EH/s，24小時交易速率為3.02交易/s，目前全網難度為34.09 T，預測下次難度上調9.10%至37.20 T，距離調整還剩6天9小時。[2023/1/10 11:03:25]

第一，行為與數據終端之間有關聯性。

通過被害公司提供的系統數據，將受攻擊IP和近20萬個攻擊源IP作進一步篩查分析，篩查出主要攻擊源的IP地址。發現：這些IP中，有198個IP為僵尸網絡中的被控主機；而這些主機又由14個控制端服務器控制。

第二，數據終端與行為人之間有關聯性。

通過姚某某等人的網絡聊天內容和銀行交易流水等證據，查清了“暗夜小組”的姚某某等人從丁某某等人處購買了上述14個控制端服務器的控制權的事實。

第三，行為與損害結果之間有關聯性。

通過第一步中確定的攻擊時間、服務器受損時間、攻擊的規模，以及實施攻擊后“暗夜小組”給受害公司發送郵件的事件；可以發現：主要攻擊源的攻擊類型、波形特征和網絡協議，與丁某某等出售、姚某某等人實際控制的攻擊服務器的攻擊資源特征相同；攻擊發生的時間與損害出現的時間相同。并查明，攻擊發生時，網絡中不存在同規模的其他攻擊。

市場消息：美國利率期貨市場預計，美聯儲7月份加息100個基點的可能性超過80%:7月14日消息，市場消息稱，美國利率期貨市場預計，美聯儲7月份加息100個基點的可能性超過80%。(金十)[2022/7/14 2:11:55]

因此，可以確定主要攻擊來自于姚某某等人實際控制、丁某某等人出售的控制端服務器。

本案中，犯罪嫌疑人在實施網絡攻擊后，發郵件向被害人敲詐勒索的證據，是認定攻擊事實與損害結果間因果關系的重要證據。

第二個問題是：

互聯網公司的損失數額應當如何認定？

本案中，受害公司提出，由于攻擊導致服務不能進行，其向客戶退費人民幣114358元；為修復系統數據、功能而支出的員工工資人民幣47170元。是否能將這些損失全部計算為犯罪損失呢？

破壞計算機信息系統造成損失的數額，是刑法第286條規定中“后果嚴重”的一種類型。依據本條規定：

“后果嚴重的，處五年以下有期徒刑或者拘役；后果特別嚴重的，處五年以上有期徒刑。”

實踐中，常通過違法所得數額和造成的經濟損失判斷危害后果的大小。

經濟損失標準并不一定能全面、準確反映出犯罪行為所造成的危害。一些案件中，違法所得或者經濟損失的數額并不大，但網絡攻擊行為導致受影響的用戶數量特別大，或通過其他后果，造成了惡劣社會影響。

但在本案中，受影響計算機信息系統和用戶數量的證據已經無法取得，只能以造成的經濟損失為標準認定行為的危害后果。

根據《最高人民法院、最高人民檢察院關于辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》第11條規定，“經濟損失”包括：

“危害計算機信息系統犯罪行為給用戶直接造成的經濟損失以及用戶為恢復數據、功能而支出的必要費用。”

本案中，除了造成服務不能進行直接帶來的經濟損失，被害公司為修復系統數據、功能而支出的員工工資也是因犯罪產生的必要費用；也應當認定為本案的經濟損失。

判決中，對于攻擊導致服務不能進行向客戶退費人民幣114358元；理論上能夠認定為本案的經濟損失。但，由于被害公司沒有就費用的支出標準、依據提交充分的證明材料，法院沒有將這部分費用認定本案經濟損失。

此外，對于修復系統數據、功能而支出的員工工資人民幣47170元；這一費用被法院認定為由犯罪所產生的必要費用，是認定本案經濟損失的依據。

最后，對于修復費用可能與公司員工工資存在部分混同的情況，法院在量刑時以此為依據，對行為人的處罰進行了酌情從輕處理。

寫在最后

本案中，行為人實施了租用第三方服務器、銷毀作案工具、刪除聊天記錄等反偵查手段；但這些手段都沒有影響相關證據的獲取和因果關系認定。天網恢恢，疏而不漏；在此提醒各位老友，偵查手段遠比你想的深入，千萬不要動歪腦筋！

另外，如果遭到相關攻擊，保存證據非常重要！如果能第一時間鎖定攻擊IP，相關電子數據記錄將可能成為有力的定案證據。第一時間除了要保存遭到攻擊的相關電子數據；保存攻擊造成的直接損失的證據，和由于攻擊支出的修復、維護、賠償金等費用的憑證也十分重要。

刑事程序中，定罪要求的證據證明標準，與民事上的證明標準存在差異。是否保存充足的證據，不僅決定了你能否獲得賠償，還關乎是否能否對行為人按照損失數額定罪。只有依法充分地保存證據，才能在不同的訴訟場景中“立于不敗之地”。

附錄：規范依據

《中華人民共和國刑法》：

第二百八十六條：破壞計算機信息系統罪

違反國家規定，對計算機信息系統功能進行刪除、修改、增加、干擾，造成計算機信息系統不能正常運行，后果嚴重的，處五年以下有期徒刑或者拘役；

關于《刑法》第286條規定的“后果嚴重”，《最高人民法院、最高人民檢察院關于辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》有明文規定：

 第四條 破壞計算機信息系統功能、數據或者應用程序，具有下列情形之一的，應當認定為刑法第二百八十六條第一款和第二款規定的“后果嚴重”：

（一）造成十臺以上計算機信息系統的主要軟件或者硬件不能正常運行的；

（二）對二十臺以上計算機信息系統中存儲、處理或者傳輸的數據進行刪除、修改、增加操作的；

（三）違法所得五千元以上或者造成經濟損失一萬元以上的；

（四）造成為一百臺以上計算機信息系統提供域名解析、身份認證、計費等基礎服務或者為一萬以上用戶提供服務的計算機信息系統不能正常運行累計一小時以上的；

（五）造成其他嚴重后果的。

第六條 故意制作、傳播計算機病等破壞性程序，影響計算機系統正常運行，具有下列情形之一的，應當認定為刑法第二百八十六條第三款規定的“后果嚴重”：

（一）制作、提供、傳輸第五條第（一）項規定的程序，導致該程序通過網絡、存儲介質、文件等媒介傳播的；

（二）造成二十臺以上計算機系統被植入第五條第（二）、（三）項規定的程序的；

（三）提供計算機病等破壞性程序十人次以上的；

（四）違法所得五千元以上或者造成經濟損失一萬元以上的；

第十一條 本解釋所稱“計算機信息系統”和“計算機系統”，是指具備自動處理數據功能的系統，包括計算機、網絡設備、通信設備、自動化控制設備等。

本解釋所稱“身份認證信息”，是指用于確認用戶在計算機信息系統上操作權限的數據，包括賬號、口令、密碼、數字證書等。

本解釋所稱“經濟損失”，包括危害計算機信息系統犯罪行為給用戶直接造成的經濟損失，以及用戶為恢復數據、功能而支出的必要費用。

以上就是今天的分享，感恩讀者！

Tags：REATREASURESURSUREADREAM幣Bitball Treasurensure幣創始人

FIL幣