离职两年还能访问公司服务器 工程师盗卖会员兑换码获刑；|App Store暗藏虚假抖音，内含间谍软件窃取照片和加密货币

离职两年还能访问公司服务器工程师盗卖会员兑换码获刑；

2025年6月24日，据最高人民检察院报道：北京某公司是一家经营知识付费网络平台的企业，刘某曾是该公司技术部工程师，2014年入职后一直负责开发、维护平台的系统。该平台实行会员制，购买会员的用户使用会员兑换码领取会员资格后，可以登录平台收听、收看相应的作品。为保护音频、视频作品的著作权，平台采取了访问控制类技术措施。

在职期间，公司为刘某配置了管理员账户，并在服务器中对刘某的个人电脑进行了授权，刘某可以使用个人电脑登录服务器、访问公司数据库，读取、修改、删除数据库中的数据。2021年3月，刘某因为薪资原因离职，但公司没有及时收回或作废其账号密码和对个人电脑的授权。2023年初，刘某待业在家无聊，利用在职时取得的密钥和授权登录该公司服务器，发现仍然可以访问和修改数据库。

2023年5月，刘某发现有人在二手交易平台售卖该公司的会员卡，就动了歪心思，在二手交易平台发布了以七折左右价格出售某平台会员的信息。当有人购买时，刘某就利用在职时获取的账号密码和密钥登录公司服务器，进入数据库将已经激活的会员兑换码变更为未激活状态，然后将兑换码复制下来发给买家。买家用该兑换码到平台兑换会员后，在一年有效期内可以畅享平台上的音频、视频作品。

同时，刘某还发现有些高级会员的购书权益有余额，但是账户已经很久没有登录，于是登录公司数据库修改了这些会员的账户密码，然后登录这些会员账户使用账户余额购买图书，再通过二手交易平台出售。通过这种方式，刘某进入10余名会员账户，窃取会员购书余额。

2023年11月21日，该公司在二手交易平台发现有人低价售卖公司会员年卡，遂开展自查，根据系统日志记载的登录密钥持有人信息和买书收货人手机号等信息，锁定了离职技术人员刘某，并向公安机关报案。

拨开迷雾层层剖析犯罪手段

案件被移送北京市西城区检察院审查起诉后，办案团队发现作案手法新颖、行为方式复杂，有许多难题摆在面前需要解决。

“这起犯罪的认定过程就像是从‘迷雾’中走出来一样。除了最终认定的侵犯著作权罪、盗窃罪，我们还考虑过涉计算机信息系统类犯罪。”办案检察官告诉记者，接到案件后，办案团队就一直在思考关于犯罪的本质和侵害的法益问题，“最后我们认为还是要透过现象看本质，精准打击犯罪行为，这样也更有利于保护法益和追赃挽损。”

据介绍，被害公司的报案材料上写着：“公司技术人员经对后台服务器及数据库日志进行梳理，发现有人入侵了公司租用的服务器，访问了数据库，并对数据进行了修改。”因此，公安机关一开始是按照破坏计算机信息系统罪进行侦查的。

在审查过程中，检察机关提出引导取证意见，对犯罪行为是否造成系统功能性破坏进行鉴定。鉴定意见认定刘某的行为仅对数据造成了破坏但未对功能性造成破坏，因此难以认定构成破坏计算机信息系统罪。

检察机关认为，由于公司没有作废或收回密钥和授权，没有明确禁止刘某再登录公司系统，并且还允许刘某离职后继续用此权限帮助公司解决系统维护中的部分问题，因此，在法律上不能认定刘某是在违背公司意愿的情况下进入公司的计算机系统，不能认定刘某的行为为非法获取计算机信息系统数据罪中的“侵入”行为。

“我们经审查认为，刘某以营利为目的，进入系统修改会员码激活状态后出售会员兑换码获利的行为，实质上是未经公司许可，故意避开公司保护著作权技术措施，构成侵犯著作权罪。”检察官继续解释说，而刘某修改会员登录密码进入会员账户窃取购书余额的行为则构成盗窃罪，“刘某的行为分别构成上述两个犯罪，应当数罪并罚。”

检察机关的认定意见，得到了被害公司、公安机关的支持，刘某也自愿认罪认罚。

经查，2023年5月至11月，刘某非法出售兑换码共获利8万余元，同时盗取平台会员购书余额3000余元。2025年1月23日，西城区检察院以刘某涉嫌侵犯著作权罪、盗窃罪提起公诉。2月25日，西城区法院判处刘某有期徒刑一年二个月，并处罚金10.2万元。

多部门联合“问诊” 助力数字版权保护

“刘某是老员工，公司对他比较信任，而且他参与了系统的研发，对系统比较了解，他离职后，公司还想让他帮忙解决一些系统运行的问题，所以没有作废他的账号密码，也没有采取更改服务器密钥等安全措施。”谈及刘某所持账号问题，被害公司解释说。

3月28日，北京市西城区检察院联合北京市公安局西城分局、区市场监管局到被害公司座谈，开展联合普法活动。

在办案过程中，办案团队发现被害公司在管理方面存在一些问题和漏洞。3月28日，西城区检察院联合北京市公安局西城分局、区市场监管局赴该公司现场“问诊开方”，不仅针对该案反映出的问题从离职人员管理、数据资源防护措施完善等方面提出改进建议，还根据公司具体情况，从加强数据知识产权登记、软件著作权登记等方面为公司的知识产权保护工作进行了提示。

感谢检察机关的监督和指导，公司将及时亡羊补牢，持续强化内部管理和制度建设，切实保护知识产权及数据信息安全。被害公司负责人衷心地表达了谢意。

App Store暗藏虚假抖音，内含间谍软件窃取照片和加密货币

卡巴斯基网络安全研究人员近日发现名为SparkKitty的新型间谍软件活动，该恶意程序已感染苹果App Store和谷歌Play官方商店的多个应用。这款间谍软件旨在窃取用户移动设备中的所有图片，疑似专门搜寻加密货币相关信息。该攻击活动自2024年初开始活跃，主要针对东南亚和中国用户。

伪装流行应用渗透设备

SparkKitty间谍软件通过看似无害的应用程序渗透设备，通常伪装成TikTok等流行应用的修改版本。在恶意的TikTok变种案例中，应用内甚至包含一个虚假的TikToki Mall在线商店，该商店接受加密货币购买消费品，且往往需要邀请码才能访问。

iPhone上的安装过程显示恶意TikTok应用如何使用配置描述文件（来源：卡巴斯基）

iOS设备攻击手法

根据卡巴斯基报告，针对iOS设备，攻击者利用苹果开发者计划中的企业级配置描述文件。这使得他们能在iPhone上安装证书，让恶意应用显得可信，从而绕过常规的App Store审核流程实现直接分发。

此外，威胁分子通过修改AFNetworking.framework和Alamofire.framework等开源网络库嵌入恶意代码，并将其伪装成libswiftDarwin.dylib。

Android设备攻击手法

在Android平台，卡巴斯基发现SparkKitty间谍软件隐藏在各类加密货币和赌博应用中。其中一款具有加密货币功能的通讯工具应用在被下架前，已从Google Play下载超过10,000次。另一个通过非官方商店传播的受感染Android应用，其类似版本也潜入了App Store。这两个版本都直接在应用内部包含恶意代码，而非作为独立组件。