亿软阁微营销(原标题:11.8亿!淘宝又有数据泄露大案:客户ID,淘宝昵称,手机号都有…)
有没有收到加拿大和微信,的消息或者邀请刷单?如果是这样,那么你的个人信息可能已经被泄露了.
近日,商丘市睢阳区人民法院在裁判文书网上公布了一份刑事判决书,显示河南省商丘市一名毕业的大学生,自2019年11月起,在淘宝上爬行8个月,窃取大量用户数据。在阿里巴巴注意到这个问题之前,已经有超过11.8亿条用户信息被泄露。
被盗的11.8亿条数据做了什么?真相是,另一个家住湖南浏阳市、初中才毕业的李某,利用这些信息建立了1100个微信群,每个群90-200人。每天用机器人在群里发淘宝优惠券,赚返利,短短8个月赚了34万多。
到底发生了什么?
两个相隔千里的人是如何齐心协力做出这起惊天大案的?
被告人邹某交代,其于2017年7月在QQ群里认识了李某,李某当时需要一些“淘宝客”做“淘宝客”。他为李某编造了一个“微信加人”的软件,他没有收到任何钱。李某答应算他的技术股,以后成立公司再跟我算这笔钱。
2019年3月,李某成立了一家名为“浏阳泰创网络科技”的公司,邹某成为该公司的一名技术人员,常年在家远程办公,月薪1万元。
2019年11月,邹开始用自己开发的爬虫“淘评”通过淘宝商品详情界面和淘宝信息共享界面抓取淘宝客户的淘宝数字ID和昵称,淘宝客户的手机号码信息可通过淘宝共享界面抓取。
其中,邹某向李某提供了被抓取客户的手机号码信息,而邹某将淘宝客户ID和淘宝昵称存储在自己的电脑硬盘中,未提供给李某并泄露出去。
另一方面,李某在收到淘宝客户的手机号后,将这些信息数据导入软件,微信加人添加微信好友成功后,他将他们拉入已建的微信群,公司内的员工负责发送广告链接。淘宝用户在该公司的微信集团购买商品后,该公司将获得佣金。
ent: 2em;”>就这样神不知鬼不觉地进行了8个多月,逯某前前后后爬取了5000多万条信息,并从其他地方下载了11亿多条数据。直到2020年8月14日淘宝(中国)软件有限公司报警称,在2020年7月6日到2020年7月13日时,有黑产人员通过接口,绕过平台风控,批量爬取数据。在7月6日至7月13日之间,平均每天爬取数量500万,爬取内容包括买家用户昵称,用户评价内容,昵称等敏感信息。
最终,逯某和黎某被河南警方逮捕。经过公检方面核查,逯某电脑里通过其开发的软件爬取淘宝客户的数字ID、淘宝昵称、手机号码等淘宝客户信息共计1180738048条。
值得注意得是,被告人逯某表示,这11.8亿的数据通过微信文件的形式发给黎某之后,黎某会转一笔费用给他,整个获利只有六七万或七八万元。
涉及恶意爬取淘宝数据淘宝联盟曾点名43款违规APP
这并不是淘宝第一次被恶意地爬取淘宝数据。
2019年5月,阿里妈妈在进行违规排查过程中,发现部分淘宝客在无线APP端未经授权爬取淘宝购物车、收藏夹等并恶性宣传做淘宝客推广的行为。这一行为严重违反《淘宝客应用开发者规范》第九条:开发者不得以任何形式爬取任何淘宝数据;违反《阿里妈妈推广者规范》第八条,存在流量劫持的违规行为。
此次专项治理共发现粉象生活、省钱快报、羊毛省钱、返钱宝宝、喵喵折、叮当叮当等此类违规APP共43个。
事实上,不仅淘宝出现这类情况,在2013年时,京东也发生过类似案件。数据外泄包括密码、手机号码、电子邮件地址、用户名。
今年4月,Facebook指责“恶意行为者”泄露了超过5.3亿用户的姓名和电话号码等数据。
第三方大数据公司“人人自危”
众所周知,网络爬虫技术原本是指平台按照一定规则,自动从互联网上提取网络信息的程序或脚本,本为互联网行业的常用技术之一。爬虫技术被广泛应用到各个领域,在大数据分析、舆情检测等,在法律上从未被明令禁止。
但是数据来源合法是网络爬虫活动合法的前提。如未依据《网络安全法》第四十一条取得被收集者同意即自动抓取个人信息,技术使用者即涉嫌构成侵犯公民个人信息罪、非法侵入计算机信息系统罪或非法获取计算机信息系统数据罪等相关罪名。
在2019年,多家第三方大数据公司被纳入调查行列,原因就是因为使用爬虫技术非法获取、存储公民个人信息。
其中最有名的当属魔蝎科技。2019年9月6日,多位业内人士称,魔蝎科技疑似被相关执法人员控制,其中一位周姓核心高管人员被警方带走。
2021年1月14日,杭州西湖区人民法院对魔蝎科侵犯公民个人信息案进行一审宣判。法院认为魔蝎科技以其他方法非法获取公民个人信息,情节特别严重,其行为已构成侵犯公民个人信息罪。
法院判决,魔蝎科技犯侵犯公民个人信息罪,判处罚金人民币3000万元;法定代表人、总经理周某犯侵犯公民个人信息罪,判处有期徒刑三年,缓刑四年,并处罚金人民币50万元;技术总监袁某犯侵犯公民个人信息罪,判处有期徒刑三年,缓刑三年,并处罚金人民币30万元。
法院审理查明,魔蝎科技会将其开发的前端插件嵌入网贷平台App中。网贷平台用户使用网贷平台的App借款时,需要在魔蝎科技提供的前端插件上输入其通讯运营商、社保、公积金、淘宝、京东、学信网、征信中心等网站的账号、密码。经过用户授权后,魔蝎科技的爬虫程序即代替用户进入其个人账户,利用各类爬虫技术,爬取(复制)上述企、事业单位网站上贷款用户本人账户内的通话记录、社保、公积金等各类数据,并按与用户的约定提供给网贷平台用于判断用户的资信情况,并从网贷平台获取每笔0.1元至0.3元不等的费用。
尽管魔蝎科技在和个人贷款用户签订的《数据采集服务协议》中明确告知,“不会保存用户账号密码,仅在用户每次单独授权的情况下采集信息”,但其仍在服务器上采用技术手段长期保存用户各类账号和密码。截至2019年9月案发时,以明文形式非法保存的个人贷款用户各类账号和密码条数多达2000万余条。
根据两高《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息50条以上即可入罪。
2019年9月前后,多家数据公司接连被查,除魔蝎科技外,还包括聚信立、新颜科技、公信宝、同盾等。
于是,在业界慢慢就出现了一句顺口溜:“爬虫玩得好,监狱进得早。数据玩得溜,牢饭吃个够。”
天网恢恢,疏而不漏。正如上述案件中,虽然逯某辩称,其只将其中一部分手机号提供给黎某用于公司经营活动,其在共同犯罪中并不起次要或辅助作用,不属从犯。
但是法院仍然认为,被告人逯某受雇于被告人黎某,二人违反国家规定,非法获取公民个人信息,情节特别严重,其行为均已构成侵犯公民个人信息罪。公诉机关指控罪名成立,且系共同犯罪。
因此,判决被告人黎某犯侵犯公民个人信息罪,判处有期徒刑三年六个月,并处罚金人民币三十五万元;被告人逯某犯侵犯公民个人信息罪,判处有期徒刑三年三个月,并处罚金人民币十万元。
<
