11.8亿条!淘宝数据泄露大案 客户ID、手机号全都有
中国基金报 安曼
你有收到过加微信送礼品,或者邀请刷单的信息吗?如果有,那么你的个人信息可能遭到了泄露……
近日,商丘市睢阳区人民法院在裁判文书网,公开了一份刑事判决书,显示一名住在河南商丘市的本科毕业的大学生逯某自2019年11月起,对淘宝实施了长达八个月的数据爬取并盗走大量用户数据。在阿里巴巴注意到这一问题前,已经有超过11亿8千多万条用户信息泄露。
而被盗取的这11.8亿条数据被拿去做什么了呢?真相是,另一名住在湖南省浏阳市,并仅仅初中毕业的黎某利用这些信息,建了1100个微信群,每个群90-200人不等。每天用机器人在群里发淘宝优惠券,赚取返利,并在短短的8个月内获利34万余元。
到底发生了什么?
两个相隔千里的人,是如何一起合作做下这起惊天大案的呢?
被告人逯某供述称,2017年7月在QQ群里认识了黎某,黎某当时在做“淘宝客”需要一些“淘宝客”软件,其为黎某编了个“微信加人”软件,没收钱,黎某承诺说算其技术入股,等以后成立公司了再与我算钱。
2019年3月份黎某成立了一家名为“浏阳市泰创网络科技”的公司,逯某成为该公司技术员,一直在家远程办公,并领取每月1万元的报酬。
2019年11月份,逯某开始用自己开发的爬虫软件“淘评评”,通过淘宝商品详细信息接口和淘宝信息分享接口,爬取淘宝客户的淘宝数字ID和淘宝昵称,并通过淘宝分享接口可以爬取淘宝客户手机号信息。
其中,爬取的客户的手机号码信息,逯某都提供给黎某了,爬取的淘宝客户ID和淘宝昵称,逯某则存在了自己的电脑硬盘里,没有提供给黎某和外泄。
而黎某,则在收到淘宝客户手机号码之后会把这些信息数据导入“微信加人”软件,加微信好友成功后,拉入建好的微信群,由公司里的员工负责发送广告链接。淘宝用户在该公司的微信群里购买商品之后,该公司将获得佣金。
就这样神不知鬼不觉地进行了8个多月,逯某前前后后爬取了5000多万条信息,并从其他地方下载了11亿多条数据。直到2020年8月14日淘宝(中国)软件有限公司报警称,在2020年7月6日到2020年7月13日时,有黑产人员通过接口,绕过平台风控,批量爬取数据。在7月6日至7月13日之间,平均每天爬取数量500万,爬取内容包括买家用户昵称,用户评价内容,昵称等敏感信息。
最终,逯某和黎某被河南警方逮捕。经过公检方面核查,逯某电脑里通过其开发的软件爬取淘宝客户的数字ID、淘宝昵称、手机号码等淘宝客户信息共计1180738048条。
值得注意得是,被告人逯某表示,这11.8亿的数据通过微信文件的形式发给黎某之后,黎某会转一笔费用给他,整个获利只有六七万或七八万元。
涉及恶意爬取淘宝数据
淘宝联盟曾点名43款违规APP
这并不是淘宝第一次被恶意地爬取淘宝数据。
2019年5月,阿里妈妈在进行违规排查过程中,发现部分淘宝客在无线APP端未经授权爬取淘宝购物车、收藏夹等并恶性宣传做淘宝客推广的行为。这一行为严重违反《淘宝客应用开发者规范》第九条:开发者不得以任何形式爬取任何淘宝数据;违反《阿里妈妈推广者规范》第八条,存在流量劫持的违规行为。
此次专项治理共发现粉象生活、省钱快报、羊毛省钱、返钱宝宝、喵喵折、叮当叮当等此类违规APP共43个。
事实上,不仅淘宝出现这类情况,在2013年时,京东也发生过类似案件。数据外泄包括密码、手机号码、电子邮件地址、用户名。
今年4月,Facebook指责“恶意行为者”泄露了超过5.3亿用户的姓名和电话号码等数据。
第三方大数据公司“人人自危”
众所周知,网络爬虫技术原本是指平台按照一定规则,自动从互联网上提取网络信息的程序或脚本,本为互联网行业的常用技术之一。爬虫技术被广泛应用到各个领域,在大数据分析、舆情检测等,在法律上从未被明令禁止。
但是数据来源合法是网络爬虫活动合法的前提。如未依据《网络安全法》第四十一条取得被收集者同意即自动抓取个人信息,技术使用者即涉嫌构成侵犯公民个人信息罪、非法侵入计算机信息系统罪或非法获取计算机信息系统数据罪等相关罪名。
在2019年,多家第三方大数据公司被纳入调查行列,原因就是因为使用爬虫技术非法获取、存储公民个人信息。
其中最有名的当属魔蝎科技。2019年9月6日,多位业内人士称,魔蝎科技疑似被相关执法人员控制,其中一位周姓核心高管人员被警方带走。
2021年1月14日,杭州西湖区人民法院对魔蝎科侵犯公民个人信息案进行一审宣判。法院认为魔蝎科技以其他方法非法获取公民个人信息,情节特别严重,其行为已构成侵犯公民个人信息罪。
法院判决,魔蝎科技犯侵犯公民个人信息罪,判处罚金人民币3000万元;法定代表人、总经理周某犯侵犯公民个人信息罪,判处有期徒刑三年,缓刑四年,并处罚金人民币50万元;技术总监袁某犯侵犯公民个人信息罪,判处有期徒刑三年,缓刑三年,并处罚金人民币30万元。
法院审理查明,魔蝎科技会将其开发的前端插件嵌入网贷平台App中。网贷平台用户使用网贷平台的App借款时,需要在魔蝎科技提供的前端插件上输入其通讯运营商、社保、公积金、淘宝、京东、学信网、征信中心等网站的账号、密码。经过用户授权后,魔蝎科技的爬虫程序即代替用户进入其个人账户,利用各类爬虫技术,爬取(复制)上述企、事业单位网站上贷款用户本人账户内的通话记录、社保、公积金等各类数据,并按与用户的约定提供给网贷平台用于判断用户的资信情况,并从网贷平台获取每笔0.1元至0.3元不等的费用。
尽管魔蝎科技在和个人贷款用户签订的《数据采集服务协议》中明确告知,“不会保存用户账号密码,仅在用户每次单独授权的情况下采集信息”,但其仍在服务器上采用技术手段长期保存用户各类账号和密码。截至2019年9月案发时,以明文形式非法保存的个人贷款用户各类账号和密码条数多达2000万余条。
根据两高《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息50条以上即可入罪。
2019年9月前后,多家数据公司接连被查,除魔蝎科技外,还包括聚信立、新颜科技、公信宝、同盾等。
于是,在业界慢慢就出现了一句顺口溜:“爬虫玩得好,监狱进得早。数据玩得溜,牢饭吃个够。”
天网恢恢,疏而不漏。正如上述案件中,虽然逯某辩称,其只将其中一部分手机号提供给黎某用于公司经营活动,其在共同犯罪中并不起次要或辅助作用,不属从犯。
但是法院仍然认为,被告人逯某受雇于被告人黎某,二人违反国家规定,非法获取公民个人信息,情节特别严重,其行为均已构成侵犯公民个人信息罪。公诉机关指控罪名成立,且系共同犯罪。
因此,判决被告人黎某犯侵犯公民个人信息罪,判处有期徒刑三年六个月,并处罚金人民币三十五万元;被告人逯某犯侵犯公民个人信息罪,判处有期徒刑三年三个月,并处罚金人民币十万元。