吉林省中科軟科技有限公司:軟件開發,小程序開發,APP開發,網站建設,LOGO設計;聯系電話:13244202123

咨詢熱線:13244202123

行業資訊

11.8億條!淘寶又有數據泄露大案:客戶ID、淘寶昵稱、手機號全都有…

發布時間:2021.06.17 09:10 瀏覽次數:112 文章來源:騰訊網
返回列表

中國基金報 安曼

你有收到過加微信送禮品,或者邀請刷單的信息嗎?如果有,那么你的個人信息可能遭到了泄露……

近日,商丘市睢陽區人民法院在裁判文書網,公開了一份刑事判決書,顯示一名住在河南商丘市的本科畢業的大學生逯某自2019年11月起,對淘寶實施了長達八個月的數據爬取并盜走大量用戶數據。在阿里巴巴注意到這一問題前,已經有超過11億8千多萬條用戶信息泄露。 吉林市網站建設

到底發生了什么?

兩個相隔千里的人,是如何一起合作做下這起驚天大案的呢?

被告人逯某供述稱,2017年7月在QQ群里認識了黎某,黎某當時在做“淘寶客”需要一些“淘寶客”軟件,其為黎某編了個“微信加人”軟件,沒收錢,黎某承諾說算其技術入股,等以后成立公司了再與我算錢。

2019年3月份黎某成立了一家名為“瀏陽市泰創網絡科技”的公司,逯某成為該公司技術員,一直在家遠程辦公,并領取每月1萬元的報酬。

2019年11月份,逯某開始用自己開發的爬蟲軟件“淘評評”,通過淘寶商品詳細信息接口和淘寶信息分享接口,爬取淘寶客戶的淘寶數字ID和淘寶昵稱,并通過淘寶分享接口可以爬取淘寶客戶手機號信息。

其中,爬取的客戶的手機號碼信息,逯某都提供給黎某了,爬取的淘寶客戶ID和淘寶昵稱,逯某則存在了自己的電腦硬盤里,沒有提供給黎某和外泄。

而黎某,則在收到淘寶客戶手機號碼之后會把這些信息數據導入“微信加人”軟件,加微信好友成功后,拉入建好的微信群,由公司里的員工負責發送廣告鏈接。淘寶用戶在該公司的微信群里購買商品之后,該公司將獲得傭金。

就這樣神不知鬼不覺地進行了8個多月,逯某前前后后爬取了5000多萬條信息,并從其他地方下載了11億多條數據。直到2020年8月14日淘寶(中國)軟件有限公司報警稱,在2020年7月6日到2020年7月13日時,有黑產人員通過接口,繞過平臺風控,批量爬取數據。在7月6日至7月13日之間,平均每天爬取數量500萬,爬取內容包括買家用戶昵稱,用戶評價內容,昵稱等敏感信息。

最終,逯某和黎某被河南警方逮捕。經過公檢方面核查,逯某電腦里通過其開發的軟件爬取淘寶客戶的數字ID、淘寶昵稱、手機號碼等淘寶客戶信息共計1180738048條。

值得注意得是,被告人逯某表示,這11.8億的數據通過微信文件的形式發給黎某之后,黎某會轉一筆費用給他,整個獲利只有六七萬或七八萬元。

涉及惡意爬取淘寶數據

淘寶聯盟曾點名43款違規APP

這并不是淘寶第一次被惡意地爬取淘寶數據。

2019年5月,阿里媽媽在進行違規排查過程中,發現部分淘寶客在無線APP端未經授權爬取淘寶購物車、收藏夾等并惡性宣傳做淘寶客推廣的行為。這一行為嚴重違反《淘寶客應用開發者規范》第九條:開發者不得以任何形式爬取任何淘寶數據;違反《阿里媽媽推廣者規范》第八條,存在流量劫持的違規行為。 吉林市網站建設

此次專項治理共發現粉象生活、省錢快報、羊毛省錢、返錢寶寶、喵喵折、叮當叮當等此類違規APP共43個。

事實上,不僅淘寶出現這類情況,在2013年時,京東也發生過類似案件。數據外泄包括密碼、手機號碼、電子郵件地址、用戶名。

今年4月,Facebook指責“惡意行為者”泄露了超過5.3億用戶的姓名和電話號碼等數據。

第三方大數據公司“人人自?!?

眾所周知,網絡爬蟲技術原本是指平臺按照一定規則,自動從互聯網上提取網絡信息的程序或腳本,本為互聯網行業的常用技術之一。爬蟲技術被廣泛應用到各個領域,在大數據分析、輿情檢測等,在法律上從未被明令禁止。

但是數據來源合法是網絡爬蟲活動合法的前提。如未依據《網絡安全法》第四十一條取得被收集者同意即自動抓取個人信息,技術使用者即涉嫌構成侵犯公民個人信息罪、非法侵入計算機信息系統罪或非法獲取計算機信息系統數據罪等相關罪名。

在2019年,多家第三方大數據公司被納入調查行列,原因就是因為使用爬蟲技術非法獲取、存儲公民個人信息。

其中最有名的當屬魔蝎科技。2019年9月6日,多位業內人士稱,魔蝎科技疑似被相關執法人員控制,其中一位周姓核心高管人員被警方帶走。

2021年1月14日,杭州西湖區人民法院對魔蝎科侵犯公民個人信息案進行一審宣判。法院認為魔蝎科技以其他方法非法獲取公民個人信息,情節特別嚴重,其行為已構成侵犯公民個人信息罪。

法院判決,魔蝎科技犯侵犯公民個人信息罪,判處罰金人民幣3000萬元;法定代表人、總經理周某犯侵犯公民個人信息罪,判處有期徒刑三年,緩刑四年,并處罰金人民幣50萬元;技術總監袁某犯侵犯公民個人信息罪,判處有期徒刑三年,緩刑三年,并處罰金人民幣30萬元。

法院審理查明,魔蝎科技會將其開發的前端插件嵌入網貸平臺App中。網貸平臺用戶使用網貸平臺的App借款時,需要在魔蝎科技提供的前端插件上輸入其通訊運營商、社保、公積金、淘寶、京東、學信網、征信中心等網站的賬號、密碼。經過用戶授權后,魔蝎科技的爬蟲程序即代替用戶進入其個人賬戶,利用各類爬蟲技術,爬?。◤椭疲┥鲜銎?、事業單位網站上貸款用戶本人賬戶內的通話記錄、社保、公積金等各類數據,并按與用戶的約定提供給網貸平臺用于判斷用戶的資信情況,并從網貸平臺獲取每筆0.1元至0.3元不等的費用。

盡管魔蝎科技在和個人貸款用戶簽訂的《數據采集服務協議》中明確告知,“不會保存用戶賬號密碼,僅在用戶每次單獨授權的情況下采集信息”,但其仍在服務器上采用技術手段長期保存用戶各類賬號和密碼。截至2019年9月案發時,以明文形式非法保存的個人貸款用戶各類賬號和密碼條數多達2000萬余條。

根據兩高《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》,非法獲取、出售或者提供行蹤軌跡信息、通信內容、征信信息、財產信息50條以上即可入罪。

2019年9月前后,多家數據公司接連被查,除魔蝎科技外,還包括聚信立、新顏科技、公信寶、同盾等。

于是,在業界慢慢就出現了一句順口溜:“爬蟲玩得好,監獄進得早。數據玩得溜,牢飯吃個夠?!?

天網恢恢,疏而不漏。正如上述案件中,雖然逯某辯稱,其只將其中一部分手機號提供給黎某用于公司經營活動,其在共同犯罪中并不起次要或輔助作用,不屬從犯。

但是法院仍然認為,被告人逯某受雇于被告人黎某,二人違反國家規定,非法獲取公民個人信息,情節特別嚴重,其行為均已構成侵犯公民個人信息罪。公訴機關指控罪名成立,且系共同犯罪。

因此,判決被告人黎某犯侵犯公民個人信息罪,判處有期徒刑三年六個月,并處罰金人民幣三十五萬元;被告人逯某犯侵犯公民個人信息罪,判處有期徒刑三年三個月,并處罰金人民幣十萬元。

TOP

巨人精品福利官方导航_国产亚洲香蕉线播放ΑV38_亚洲乱码一区二三四区ava_香港典型A片在线观看