11.8億條!淘寶數據泄露大案 客戶ID、手機號全都有
中國基金報 安曼
你有收到過加微信送禮品,或者邀請刷單的信息嗎?如果有,那麼你的個人信息可能遭到了泄露……
近日,商丘市睢陽區人民法院在裁判文書網,公開了一份刑事判決書,顯示一名住在河南商丘市的本科畢業的大學生逯某自2019年11月起,對淘寶實施了長達八個月的數據爬取並盜走大量用戶數據。在阿里巴巴注意到這一問題前,已經有超過11億8千多萬條用戶信息泄露。
而被盜取的這11.8億條數據被拿去做什麼了呢?真相是,另一名住在湖南省瀏陽市,並僅僅初中畢業的黎某利用這些信息,建了1100個微信羣,每個羣90-200人不等。每天用機器人在羣裡發淘寶優惠券,賺取返利,並在短短的8個月內獲利34萬餘元。
到底發生了什麼?
兩個相隔千里的人,是如何一起合作做下這起驚天大案的呢?
被告人逯某供述稱,2017年7月在QQ羣裡認識了黎某,黎某當時在做“淘寶客”需要一些“淘寶客”軟件,其爲黎某編了個“微信加人”軟件,沒收錢,黎某承諾說算其技術入股,等以後成立公司了再與我算錢。
2019年3月份黎某成立了一家名爲“瀏陽市泰創網絡科技”的公司,逯某成爲該公司技術員,一直在家遠程辦公,並領取每月1萬元的報酬。
2019年11月份,逯某開始用自己開發的爬蟲軟件“淘評評”,通過淘寶商品詳細信息接口和淘寶信息分享接口,爬取淘寶客戶的淘寶數字ID和淘寶暱稱,並通過淘寶分享接口可以爬取淘寶客戶手機號信息。
其中,爬取的客戶的手機號碼信息,逯某都提供給黎某了,爬取的淘寶客戶ID和淘寶暱稱,逯某則存在了自己的電腦硬盤裡,沒有提供給黎某和外泄。
而黎某,則在收到淘寶客戶手機號碼之後會把這些信息數據導入“微信加人”軟件,加微信好友成功後,拉入建好的微信羣,由公司裡的員工負責發送廣告鏈接。淘寶用戶在該公司的微信羣裡購買商品之後,該公司將獲得佣金。
就這樣神不知鬼不覺地進行了8個多月,逯某前前後後爬取了5000多萬條信息,並從其他地方下載了11億多條數據。直到2020年8月14日淘寶(中國)軟件有限公司報警稱,在2020年7月6日到2020年7月13日時,有黑產人員通過接口,繞過平臺風控,批量爬取數據。在7月6日至7月13日之間,平均每天爬取數量500萬,爬取內容包括買家用戶暱稱,用戶評價內容,暱稱等敏感信息。
最終,逯某和黎某被河南警方逮捕。經過公檢方面覈查,逯某電腦裡通過其開發的軟件爬取淘寶客戶的數字ID、淘寶暱稱、手機號碼等淘寶客戶信息共計1180738048條。
值得注意得是,被告人逯某表示,這11.8億的數據通過微信文件的形式發給黎某之後,黎某會轉一筆費用給他,整個獲利只有六七萬或七八萬元。
涉及惡意爬取淘寶數據
淘寶聯盟曾點名43款違規APP
這並不是淘寶第一次被惡意地爬取淘寶數據。
2019年5月,阿里媽媽在進行違規排查過程中,發現部分淘寶客在無線APP端未經授權爬取淘寶購物車、收藏夾等並惡性宣傳做淘寶客推廣的行爲。這一行爲嚴重違反《淘寶客應用開發者規範》第九條:開發者不得以任何形式爬取任何淘寶數據;違反《阿里媽媽推廣者規範》第八條,存在流量劫持的違規行爲。
此次專項治理共發現粉象生活、省錢快報、羊毛省錢、返錢寶寶、喵喵折、叮噹叮噹等此類違規APP共43個。
事實上,不僅淘寶出現這類情況,在2013年時,京東也發生過類似案件。數據外泄包括密碼、手機號碼、電子郵件地址、用戶名。
今年4月,Facebook指責“惡意行爲者”泄露了超過5.3億用戶的姓名和電話號碼等數據。
第三方大數據公司“人人自危”
衆所周知,網絡爬蟲技術原本是指平臺按照一定規則,自動從互聯網上提取網絡信息的程序或腳本,本爲互聯網行業的常用技術之一。爬蟲技術被廣泛應用到各個領域,在大數據分析、輿情檢測等,在法律上從未被明令禁止。
但是數據來源合法是網絡爬蟲活動合法的前提。如未依據《網絡安全法》第四十一條取得被收集者同意即自動抓取個人信息,技術使用者即涉嫌構成侵犯公民個人信息罪、非法侵入計算機信息系統罪或非法獲取計算機信息系統數據罪等相關罪名。
在2019年,多家第三方大數據公司被納入調查行列,原因就是因爲使用爬蟲技術非法獲取、存儲公民個人信息。
其中最有名的當屬魔蠍科技。2019年9月6日,多位業內人士稱,魔蠍科技疑似被相關執法人員控制,其中一位周姓核心高管人員被警方帶走。
2021年1月14日,杭州西湖區人民法院對魔蠍科侵犯公民個人信息案進行一審宣判。法院認爲魔蠍科技以其他方法非法獲取公民個人信息,情節特別嚴重,其行爲已構成侵犯公民個人信息罪。
法院判決,魔蠍科技犯侵犯公民個人信息罪,判處罰金人民幣3000萬元;法定代表人、總經理周某犯侵犯公民個人信息罪,判處有期徒刑三年,緩刑四年,並處罰金人民幣50萬元;技術總監袁某犯侵犯公民個人信息罪,判處有期徒刑三年,緩刑三年,並處罰金人民幣30萬元。
法院審理查明,魔蠍科技會將其開發的前端插件嵌入網貸平臺App中。網貸平臺用戶使用網貸平臺的App借款時,需要在魔蠍科技提供的前端插件上輸入其通訊運營商、社保、公積金、淘寶、京東、學信網、徵信中心等網站的賬號、密碼。經過用戶授權後,魔蠍科技的爬蟲程序即代替用戶進入其個人賬戶,利用各類爬蟲技術,爬取(複製)上述企、事業單位網站上貸款用戶本人賬戶內的通話記錄、社保、公積金等各類數據,並按與用戶的約定提供給網貸平臺用於判斷用戶的資信情況,並從網貸平臺獲取每筆0.1元至0.3元不等的費用。
儘管魔蠍科技在和個人貸款用戶簽訂的《數據採集服務協議》中明確告知,“不會保存用戶賬號密碼,僅在用戶每次單獨授權的情況下采集信息”,但其仍在服務器上採用技術手段長期保存用戶各類賬號和密碼。截至2019年9月案發時,以明文形式非法保存的個人貸款用戶各類賬號和密碼條數多達2000萬餘條。
根據兩高《關於辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》,非法獲取、出售或者提供行蹤軌跡信息、通信內容、徵信信息、財產信息50條以上即可入罪。
2019年9月前後,多家數據公司接連被查,除魔蠍科技外,還包括聚信立、新顏科技、公信寶、同盾等。
於是,在業界慢慢就出現了一句順口溜:“爬蟲玩得好,監獄進得早。數據玩得溜,牢飯吃個夠。”
天網恢恢,疏而不漏。正如上述案件中,雖然逯某辯稱,其只將其中一部分手機號提供給黎某用於公司經營活動,其在共同犯罪中並不起次要或輔助作用,不屬從犯。
但是法院仍然認爲,被告人逯某受僱於被告人黎某,二人違反國家規定,非法獲取公民個人信息,情節特別嚴重,其行爲均已構成侵犯公民個人信息罪。公訴機關指控罪名成立,且系共同犯罪。
因此,判決被告人黎某犯侵犯公民個人信息罪,判處有期徒刑三年六個月,並處罰金人民幣三十五萬元;被告人逯某犯侵犯公民個人信息罪,判處有期徒刑三年三個月,並處罰金人民幣十萬元。