惊天大案!淘宝12亿条用户数据泄露

  • A+
所属分类:篮球资讯

在这个万物互联的时代,我们的个人隐私遭到盗窃和泄露的几率非常高。

而在最近,淘宝网大量用户数据就遭到了泄露。6月3日,商丘市睢阳区人民法院在裁判文书网,公开了一份刑事判决书,显示两名犯罪分子在淘宝爬取并盗走大量数据。经过检方核实,被盗取的淘宝用户数据竟然高达近12亿条之多

2020年8月14日淘宝(中国)软件有限公司报警,在2020年7月6日到2020年7月13日时,有黑产人员通过接口,绕过平台风控,批量爬取数据。在7月6日至7月13日之间,平均每天爬取数量500万,爬取内容包括买家UID淘宝昵称用户手机号等敏感信息。淘宝网站排查后发现,逯某有重大作案嫌疑,接到报警后,当地警方将此事立为刑事案件。经审理查明,逯某受雇于黎某,而后者成立了一家名为“浏阳市泰创网络科技”的公司,该公司设有返利部、客服部、招商部等部门。

铁马一听这个公司部门安排就知道,这是一家典型的淘宝客公司。所谓的淘宝客公司,就是以推广淘宝上产品来盈利的企业。别人点击了他们的链接去淘宝购那么淘宝就要给这些推广企业付费,一般按照销售出去的产品按照一定百分比分成。

逯某作为公司技术员,每月工资一万元。自2019年11月,逯某在家中利用自己开发的爬虫软件,通过淘宝网页接口爬取淘宝客户的信息,并将其中淘宝客户的手机号码提供给黎某,用于其任职公司的经营活动。而经过公检方面核查,逯某通过其开发的软件爬取淘宝客户的数字ID、淘宝昵称、手机号码等淘宝客户信息共计1180738048条。别数了,铁马给你数好了,一共11亿8千多万条

拿到部分数据的这家淘宝客公司,自2019年11月份至2020年7月份利用该信息盈利,共获利340187.68元。逯某、黎某二人因为“侵犯公民个人信息罪”,分别被判处有期徒刑三年三个月和三年六个月,并处罚金人民币十万元和三十五万元。另外,铁马还发现了一个小细节。被告人逯某被逮捕后,曾供述:

“2019年11月份我开始用自写软件‘淘评评’,通过淘宝商品详细信息接口和淘宝信息分享接口,可以爬取淘宝客户的淘宝数字ID和淘宝昵称,通过淘宝分享接口可以爬取淘宝客户手机号信息。”

按照被告人逯某的说法,淘宝是有设计漏洞的,黑产程序员可以通过这几个接口爬取用户数据,这听起来实在太奇葩了,淘宝竟然对自己用户的数据不设防?

而淘宝也在庭审时派出了自己的安全风控员马某,作为证人。他表示对方是通过破解接口的形式进行加密数据的爬取。这里就牵扯到“谁在说谎”的问题了。著名网络安全媒体人“黑奇士”分析,如果是“破解接口”,那就属于入侵淘宝内部系统,触犯的是刑法286条“破坏计算机信息系统罪”。处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。被告人逯某则供述,自己是通过爬虫获取了淘宝的数据,并不涉及“绕过、破解、破坏”,也就是没对淘宝的系统进行增加、删除、改变等行为,属于侵犯他人信息,可判处3年以上7年以下有期徒刑。从法院最终的判决认定也可以看出,认定逯某是“侵犯公民信息罪”,也就是并不支持淘宝方面的说法,认定逯某仅仅是盗窃了淘宝的数据,并没有破坏淘宝的数据。换句话说,法院认为逯某并没有绕过或者破坏淘宝的风控系统。这就有意思了。按照黑奇士的分析,淘宝竟然任凭他人利用自己的官方接口,调取用户数据,这个业务逻辑显然是有很大问题的

(下图截自:黑奇士 司马子羽)

(责任编辑:杨胜忠_NB24315)

  • 我的微信
  • 这是我的微信扫一扫
  • weinxin
  • 我的微信公众号
  • 我的微信公众号扫一扫
  • weinxin