网易首页 > 网易科技 > 网易科技 > 正文

惊天大案!淘宝12亿条用户数据泄露

0
分享至

在这个万物互联的时代,我们的个人隐私遭到盗窃和泄露的几率非常高。

而在最近,淘宝网大量用户数据就遭到了泄露。
6月3日,商丘市睢阳区人民法院在裁判文书网,公开了一份刑事判决书,显示两名犯罪分子在淘宝爬取并盗走大量数据。经过检方核实,被盗取的淘宝用户数据竟然高达近12亿条之多

惊天大案!淘宝12亿条用户数据泄露

2020年8月14日淘宝(中国)软件有限公司报警,在2020年7月6日到2020年7月13日时,有黑产人员通过接口,绕过平台风控,批量爬取数据。
在7月6日至7月13日之间,平均每天爬取数量500万,爬取内容包括买家UID淘宝昵称用户手机号等敏感信息。
淘宝网站排查后发现,逯某有重大作案嫌疑,接到报警后,当地警方将此事立为刑事案件。
经审理查明,逯某受雇于黎某,而后者成立了一家名为“浏阳市泰创网络科技”的公司,该公司设有返利部、客服部、招商部等部门。

惊天大案!淘宝12亿条用户数据泄露

铁马一听这个公司部门安排就知道,这是一家典型的淘宝客公司
所谓的淘宝客公司,就是以推广淘宝上产品来盈利的企业。别人点击了他们的链接去淘宝购那么淘宝就要给这些推广企业付费,一般按照销售出去的产品按照一定百分比分成。
惊天大案!淘宝12亿条用户数据泄露
逯某作为公司技术员,每月工资一万元。自2019年11月,逯某在家中利用自己开发的爬虫软件,通过淘宝网页接口爬取淘宝客户的信息,并将其中淘宝客户的手机号码提供给黎某,用于其任职公司的经营活动。
而经过公检方面核查,逯某通过其开发的软件爬取淘宝客户的数字ID、淘宝昵称、手机号码等淘宝客户信息共计1180738048条。
别数了,铁马给你数好了,一共11亿8千多万条

惊天大案!淘宝12亿条用户数据泄露

拿到部分数据的这家淘宝客公司,自2019年11月份至2020年7月份利用该信息盈利,共获利340187.68元
逯某、黎某二人因为“侵犯公民个人信息罪”,分别被判处有期徒刑三年三个月和三年六个月,并处罚金人民币十万元和三十五万元。
另外,铁马还发现了一个小细节。
被告人逯某被逮捕后,曾供述:
“2019年11月份我开始用自写软件‘淘评评’,通过淘宝商品详细信息接口和淘宝信息分享接口,可以爬取淘宝客户的淘宝数字ID和淘宝昵称,通过淘宝分享接口可以爬取淘宝客户手机号信息。”
按照被告人逯某的说法,淘宝是有设计漏洞的,黑产程序员可以通过这几个接口爬取用户数据,这听起来实在太奇葩了,淘宝竟然对自己用户的数据不设防?

惊天大案!淘宝12亿条用户数据泄露

而淘宝也在庭审时派出了自己的安全风控员马某,作为证人。他表示对方是通过破解接口的形式进行加密数据的爬取
这里就牵扯到“谁在说谎”的问题了。
著名网络安全媒体人“黑奇士”分析,如果是“破解接口”,那就属于入侵淘宝内部系统,触犯的是刑法286条“破坏计算机信息系统罪”。处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。
被告人逯某则供述,自己是通过爬虫获取了淘宝的数据,并不涉及“绕过、破解、破坏”,也就是没对淘宝的系统进行增加、删除、改变等行为,属于侵犯他人信息,可判处3年以上7年以下有期徒刑。
从法院最终的判决认定也可以看出,认定逯某是“侵犯公民信息罪”,也就是并不支持淘宝方面的说法,认定逯某仅仅是盗窃了淘宝的数据,并没有破坏淘宝的数据。
换句话说,法院认为逯某并没有绕过或者破坏淘宝的风控系统
这就有意思了。
按照黑奇士的分析,淘宝竟然任凭他人利用自己的官方接口,调取用户数据,这个业务逻辑显然是有很大问题的

(下图截自:黑奇士 司马子羽)

惊天大案!淘宝12亿条用户数据泄露

对电商平台而言,用户个人信息是重中之重,绝不可能允许其他人随意获取。
自己用户的信息都不能保证安全,谁还敢用你家的服务呢?
而且你家也有安全服务之类的产品,曝出这么大的问题,大家也会怀疑你家产品的可靠性。
另外,联想到之前淘宝封杀拼多多员工 IP地址的事,铁马也觉得值得深思。
据观察者网2020年报道,有拼多多员工在社交媒体上反馈,自己无法使用淘宝聚划算百亿补贴、淘宝省钱月卡、天猫超市等多个业务。
惊天大案!淘宝12亿条用户数据泄露
之后,阿里巴巴聚划算承认有此事,同时指责某地区的“用户”疯狂爬取淘宝数据,套取优惠补贴。他们将相关 IP屏蔽了,还表示“我们不屏蔽亲,我们屏蔽坏人”。
惊天大案!淘宝12亿条用户数据泄露
在此之后,拼多多员工在知乎上表示,此次淘宝是直接按照拼多多员工的注册 IP 所在地,批量封锁拼多多的员工账号,有无辜员工被误伤。还有拼多多员工表示,淘宝封禁 IP 还造成了自己周边企业员工被误伤
惊天大案!淘宝12亿条用户数据泄露
回过头来再看一下这次的淘宝数据泄露事件,其实都反映了一个问题:淘宝对自身数据的保护可能有问题。防不住爬虫可以理解,但是官方的公开接口有可能调取用户隐私数据,给黑产人员可乘之机,这就不仅是技术问题了,而是业务逻辑问题
另外,反爬虫技术防不住对方的爬虫,就把对方 IP 封掉,封的时候还造成了误伤,铁马这个吃瓜群众表示有点害怕,万一周围有人爬取淘宝数据,导致我号被封了,我去哪里哭去呀。
最后,铁马想要引用黑奇士的话,来作为本文的结尾:
巨头信息外泄,抓几个淘客泄愤。我能说啥呢?

延伸阅读
相关推荐
热点推荐

成绩最好的小组第二(即时):黎巴嫩第一,国足暂时降至第三

直播吧
2021-06-13 15:30:05

登机现场出现罕见一幕:拜登突然惊呼“被攻击”,飞机延误7小时

海拔新观察
2021-06-13 15:38:40

“去家务化”的装修越来越流行,只有入住后,才知道有多爽!

用心享生活
2021-06-13 15:27:15

台最高机密指挥部暴雷,我军摩拳擦掌!第80集团军:准备准备准备

战略观察员
2021-06-13 09:25:51

太尴尬了!拜登在英国又出现口误,美国防部长奥斯汀恼羞成怒

随风而动的
2021-06-13 11:50:20

今年15个副省级城市已近半市委书记调整,他们到了这儿任职

大众日报
2021-06-13 16:39:11

胡大一:过度医疗、过度体检不是为了人民,而是为了人民币!

郭智超
2021-06-13 10:06:13

30张图片告诉你,什么才叫真正的淡定

全球猎奇菌
2021-06-13 00:10:31

副部级央企总部新格局

香港经济导报社
2021-06-12 19:28:12

中国第一女贪官案细节披露:40位上司被她迷倒,9人发生关系敲诈

和讯网
2021-06-02 15:50:22

澳洲华人,已经回不去了!

澳洲财经见闻
2021-06-13 14:15:05

刘亭,刘少奇与王光美的女儿,任联亚集团董事长兼总裁

甬说
2021-06-12 19:48:18

“错换人生”姚师兵:实现钓鱼自由,亲家全程作陪,2人边喝边聊

时态
2021-06-13 19:58:28

三峡能源还有几个涨停?

吴雪娱乐事
2021-06-13 14:53:18

浙江一房地产老虎被双开!系温州人

温州草根
2021-06-13 18:39:34

骇人巨物再次出现,科学家:人类宇宙观可能建立在了错误的基础上

星空天文
2021-06-13 08:08:44

被小姐姐惊艳到了,穿粉色V领长裙曲线迷人,人比花娇

炫舞时尚
2021-06-12 08:00:02

路被堵死!澳大利亚龙虾刚进中国就被发现,不是说好内部消化?

军武亮剑
2021-06-12 23:46:00

当复旦大学老师都杀人了,世界还会好吗?

易学老司机
2021-06-13 14:48:57

英国G7峰会闭幕在即,首脑宣言表述中国似无悬念

笪志刚
2021-06-13 18:25:04
2021-06-13 20:57:07

科技要闻

未来公开课第六期|郝景芳

头条要闻

爆炸亲历者:早十分钟去开店人就没了 抱头痛哭好几场

头条要闻

爆炸亲历者:早十分钟去开店人就没了 抱头痛哭好几场

体育要闻

这一刻,他们踢得不再只是足球

娱乐要闻

满分!刘诗诗穿露肩白裙典雅高贵

财经要闻

汽车要闻

e-TNGA架构打造 丰田bZ4X CONCEPT明年量产

态度原创

本地
旅游
时尚
健康
数码

本地新闻

鞭子真的是公园大爷最后的春药吗?

旅游要闻

位于阿富汗的巴米扬大佛:哪年被毁

新青年UP|专访王琳凯:“幼稚鬼”不必长大

孩子被猫狗抓咬伤咋办?

数码要闻

5天股价翻倍 鸿蒙概念股坐不住了:买我风险很高

×