FBI Warning 之 Hack 前端 API 到底离联邦监狱有多远?
修改前端API薅羊毛仅属违约,越权或高并发可致CFAA重罪
关键信息
- 前端 API 薅羊毛的法律界限:论坛“败家”板块常有坛友通过修改前端代码、叠加 coupon code 或直接调用 API 刷取更高的开卡 offer(SUB)(#1)。2021 年最高法院 Van Buren v. United States 判例确立了“门是开着的(Gate Is Up)”原则:只要用户使用合法的 access token 或 cookies 访问未做好后端封锁的 API,在法律上就属于授权访问,即使违背商家 TOS,也仅构成民事违约,FBI 无法通过 CFAA(计算机欺诈和滥用法案)刑事起诉(#1)。
- 刑事责任红线:若对 API 进行越权篡改(如修改他人用户 ID 窃取数据)或使用多线程脚本大规模高并发冲击服务器,属于技术上的强行破门(Gate Is Down),将触碰 CFAA 计算机欺诈或未授权访问的刑事红线(#1)。
经验与数据点
- 相关案例与刑期:
- Patel 案:Chirag Patel 因黑入某酒店集团(疑似 Best Western)盗取积分与信用卡信息,被判处 51 个月监禁(#1)。
- Van Buren 案:前警官 Van Buren 于 2015 年收受 6000 美元贿赂违规查询车牌,一、二审因违反规章被判 CFAA 刑事重罪面临 18 个月监禁,后被最高法院推翻判决(#1)。
- 日本循环弹窗事件:2019 年 5 人因在 BBS 写入恶意无限 alert 弹窗链接遭警方搜查;黑客协会在 1 日内为涉案者募集了 700 万日元诉讼和律师费(#10)。
- 玩卡关联:坛友指出,修改前端 API 改 ID 绕过限制的操作,与信用卡薅羊毛中通过修改 NLL(No Lifetime Language)链接 ID 的套路高度相似(#5)。