泥潭日报 uscardforum · 内容汇总

FBI Warning 之 Hack 前端 API 到底离联邦监狱有多远?

内容摘要

修改前端API薅羊毛仅属违约,越权或高并发可致CFAA重罪

关键信息

  • 前端 API 薅羊毛的法律界限:论坛“败家”板块常有坛友通过修改前端代码、叠加 coupon code 或直接调用 API 刷取更高的开卡 offer(SUB)(#1)。2021 年最高法院 Van Buren v. United States 判例确立了“门是开着的(Gate Is Up)”原则:只要用户使用合法的 access token 或 cookies 访问未做好后端封锁的 API,在法律上就属于授权访问,即使违背商家 TOS,也仅构成民事违约,FBI 无法通过 CFAA(计算机欺诈和滥用法案)刑事起诉(#1)。
  • 刑事责任红线:若对 API 进行越权篡改(如修改他人用户 ID 窃取数据)或使用多线程脚本大规模高并发冲击服务器,属于技术上的强行破门(Gate Is Down),将触碰 CFAA 计算机欺诈或未授权访问的刑事红线(#1)。

经验与数据点

  • 相关案例与刑期
  • Patel 案:Chirag Patel 因黑入某酒店集团(疑似 Best Western)盗取积分与信用卡信息,被判处 51 个月监禁(#1)。
  • Van Buren 案:前警官 Van Buren 于 2015 年收受 6000 美元贿赂违规查询车牌,一、二审因违反规章被判 CFAA 刑事重罪面临 18 个月监禁,后被最高法院推翻判决(#1)。
  • 日本循环弹窗事件:2019 年 5 人因在 BBS 写入恶意无限 alert 弹窗链接遭警方搜查;黑客协会在 1 日内为涉案者募集了 700 万日元诉讼和律师费(#10)。
  • 玩卡关联:坛友指出,修改前端 API 改 ID 绕过限制的操作,与信用卡薅羊毛中通过修改 NLL(No Lifetime Language)链接 ID 的套路高度相似(#5)。

争议或不同意见

  • 告知义务与诉讼成本:坛友指出,页面或控制台打印 "unauthorized access prohibited" 警告只是商家为了打官司和免责(#4);且普通人根本没有资金支持官司一路打到最高法院(#9)。
  • 法律裁决的不确定性:有意见指出篡改他人 ID 与重复提交 nonce token 在技术层面上难以界定,法官未必理解 CSRF 等术语,CFAA 容易沦为万物皆可装的“口袋罪”(#7)。
  • 盗号争议:有坛友吐槽相比研究 API 的法律界限,不如先抓捕 Alaska (AS) 盗号团伙(#2),但该团伙疑似不在美国境内难以查办(#3)。
CFAAAPIVan BurenNLL