爬虫玩得好,监狱进得早!淘宝网被河南大学生爬取11亿条用户信息,两人领刑-转

 

###############

近日,据企查查披露的刑事判决书显示。一名住在河南商丘市的本科毕业的大学生逯某自2019年11月起,对淘宝实施了长达八个月的数据爬取并盗走大量用户数据。在阿里巴巴注意到这一问题前,已经有超过11亿8千多万条用户信息泄露。

商丘市睢阳区人民检察院指控,2019年以来,被告人逯某受雇于被告人黎某,被告人逯某在商丘市睢阳区其家中利用自己开发的爬虫软件,通过淘宝网页接口爬取淘宝客户的信息,并将其中淘宝客户的手机号码提供给被告人黎某开设的浏阳市泰创网络科技有限公司用于经营活动,该公司自2019年8月份至2020年7月份非法获利为3952559.59元。

经司法鉴定,被告人逯某通过其开发的软件爬取淘宝客户的数字ID、淘宝昵称、手机号码等淘宝客户信息共计1180738048条,被告人逯某将其爬取信息中的淘宝客户手机号码通过微信文件的形式发送给被告人黎某使用共计19712611条。

被告方答辩

被告人逯某辩称,只采集了五千万条,十一亿八千万条不是我采集的,是从其它地方下载的,我采集的信息没有传播,只有电话号码,没有身份信息,没有联系任何一个用户,没有得到利润。获利只有六七万或七八万元。

被告人黎某辩称,逯某给我发的信息只是一个单纯的手机号码,没有拿这些信息做违法犯罪的事情,返利部的获利是利用该信息,其他部获利与该信息无关,愿意退出37万元的违法所得。

法院查明

经审理查明,被告人黎某在湖南省浏阳市成立了浏阳市泰创网络科技有限公司(自然人独资),该公司设有返利部、客服部、招商部等部门。被告人逯某受雇于被告人黎某,作为公司技术员,每月工资一万元。

自2019年11月,被告人逯某在商丘市睢阳区其家中利用自己开发的爬虫软件,通过淘宝网页接口爬取淘宝客户的信息,并将其中淘宝客户的手机号码提供给被告人黎某,用于浏阳市泰创网络科技有限公司用于经营活动,该公司自2019年11月份至2020年7月份利用该信息经营共获利340187.68元。经司法鉴定,被告人逯某通过其开发的软件爬取淘宝客户的数字ID、淘宝昵称、手机号码等淘宝客户信息共计1180738048条,被告人逯某将其爬取信息中的淘宝客户手机号码通过微信文件的形式发送给被告人黎某使用共计19712611条。

事件回溯:

2020年8月14日淘宝(中国)软件有限公司报称警,在2020年7月6日到2020年7月13日时,有黑产通过mtop订单评价接口绕过平台风控批量爬取加密数据,爬取字段量巨大,7月6日至7月13日之间平均每天爬取数量500万,爬取内容包括买家用户昵称,用户评价内容,昵称等敏感字段。

经淘宝网站排查发现,逯某有重大作案嫌疑,作案地点河南省商丘市睢阳区新城街道长江路民政局家属院,立为刑事案件。

国家林业局森林公安司法鉴定中心物证检验报告证实,对逯某、黎某手机数据恢复、提取、鉴定。福建中证司法鉴定中心司法鉴定意见,(逯某台式主机1台)在送检台式主机中检出MYsq1数据“taobao”,d“taobao”数据库中只包含一张数据表“userinfo”,在”userinfo”表中提取出1180738048条记录。情况说明证实,(调取逯某电脑数据库中数据的真实性说明)逯某数据库数据统计,共有12亿条数据,据抽样1W条数据进行排查属正确关系对数据。主要字段包含user_id,user_nick,手机号,注册时间等属于淘宝实际认证的真实信息。

浏阳市泰创网络科技有限公司自2019年8月至2020年7月公司总营业额包括招商部、客服部、返利部收入共计3952559.59元。

浏阳市泰创网络科技有限公司营业执照证实,浏阳市泰创网络科技有限公司(自然人独资)成立于2018年1月15日,该公司法定代表人为黎某。浏阳市泰创网络科技有限公司员工花名册证实,浏阳市泰创网络科技有限公司总经理为黎某,综合管理部有5人、招商部有4人、一组人员有12人、二组人员有10人,该公司共32人。

证人潘某的证言证实,浏阳市泰创网络科技有限公司成立于2018年1月15日,现在主要业务是淘宝客,在微信群里进行淘宝商品的推广,从而获得淘宝网佣金和商家服务费,以前做过抖音推广后来效果不好就停了。公司有社群部、招商部、客服部,社群部主要负责微信群的淘宝爆款商品链接的发送,客服部、招商部主要负责对接淘宝商家。不知公司有逯某这个人,公司约有600个微信群,每个群平均110人左右。淘宝客户资源由老板黎某自己负责。

证人王某的证言证实,浏阳市泰创网络科技有限公司约有1100个微信群,每个微信群最多有200人,最少约90人。该公司创建微信群目的用于淘宝商品的推广,从而获得淘宝网佣金和商家服务费。其公司社群组组员建好各自的微信群后将群二维码提供给老板黎某,然后就有人自动进群。

证人刘某的证言证实,浏阳市泰创网络科技有限公司成立于2018年1月15日,现在主营业务是社群和招商,帮淘宝商家带货,从而获得淘宝网佣金和商家服务费。该公司约有800个微信群,每个群平均有100多人。淘宝客户来源不清楚。证人何某的证言证实,其本人在浏阳市泰创网络科技有限公司属社群部员工,主要负责130个微信群的日常推广工作,通过推淘宝商品优惠券来推广淘宝商品,由群内客户成功购买之后获得淘宝佣金。推广淘宝商品的微信群里的淘宝客户,由该公司员工将微信群二维码给主管之后扫码进入。淘宝客户来源不清楚。证人马某证言证实,其系淘宝网安全风控员,2020年7月13日,其在工作中发现,平台的评价接口存在异常流量行为,经排查后发现有黑产通过破解接口的形式进行加密数据的爬取,在2020年7月13日至2020年7月20日之间爬取了3500万条数据。

淘宝(中国)软件有限公司派工作人员前往商丘市公安局犯罪侦查支队直属二大队协查调查,通过嫌疑人逯某的电脑硬盘信息分析统计,共计12亿条手机号、user_nick等加密相关信息。

被告人逯某供述与辩解:

2017年7月在QQ群里认识了黎某,黎某当时在做“淘宝客”需要一些“淘宝客”软件,我为黎某编了个“微信加人”软件,没收钱,黎某承诺说算我技术入股,等以后成立公司了再与我算钱。2019年3月份黎某成立了公司,我成为公司技术员,一直在家远程办公,也就是从2019年3月份黎某给我每月1万元报酬

2019年11月份我开始用自写软件“淘评评”,通过淘宝商品详细信息接口和淘宝信息分享接口,可以爬取淘宝客户的淘宝数字ID和淘宝昵称,通过淘宝分享接口可以爬取淘宝客户手机号信息。其中爬取的客户的手机号码信息我都提供给黎某了,爬取的淘宝客户ID和淘宝昵称我都存在了自己的电脑硬盘里,没有提供给黎某和外泄。且自2019年11月份起,被告人逯某爬取采集成功的数据最起码有5000万条,每条分为3个字段包含UID、淘宝昵称、用户手机号。

公司做“淘宝联盟”里的淘宝返利,主要用这些手机号加对方微信好友进行推广淘宝商品,让用户领取“淘宝联盟”优惠券,对方使用优惠券成功购买商品,我们公司会获得返利。

被告人黎某供述与辩解。

自2012年开始做淘宝客生意,通过做淘宝推广赚取淘宝客佣金,因为做淘宝客需要大量淘宝客户联系方式。2017年7月在网上认识的逯某,他帮我做了个“微信加人”软件,因没怎么挣到钱,我俩商量每月给逯某1万元工资,后来我成立了浏阳市泰创网络科技公司,逯某作为技术员,在2019年底,被告人逯某利用自写软件通过技术手段爬取淘宝网里的淘宝客户信息后,不定时的通过微信文件把公司需要的淘宝客户手机号码直接发送给我。

我在收到淘宝客户手机号码之后会把这些信息数据导入“微信加人”软件,加微信好友成功后,由浏阳市泰创网络科技有限公司的员工负责发送广告链接,淘宝用户在该公司的广告群里购买商品,该公司获得佣金。

最终裁判:

被告人黎某犯侵犯公民个人信息罪,判处有期徒刑三年六个月,并处罚金人民币三十五万元。

被告人逯某犯侵犯公民个人信息罪,判处有期徒刑三年三个月,并处罚金人民币十万元。

被告人黎某、逯某违法所得依法继续予以追缴上缴国库。

依法扣押的作案工具逯某电脑主机5台、电脑显示器3台和手机5个,由扣押机关依法处理。

 

#############

 

因涉嫌非法获取计算机信息系统数据、非法控制计算机信息系统罪,2020年8月15日,逯某被商丘市公安局新城分局刑事拘留, 

6天后,也就是8月21日,因涉嫌侵犯公民个人信息罪,黎某被抓获,并于2020年8月22日被商丘市公安局新城分局刑事拘留,9月22日被逮捕。

 

作为证人,淘宝网安全风控员马某证实,2020年7月13日,其在工作中发现,平台的评价接口存在异常流量行为,经排查后发现有黑产通过破解接口的形式进行加密数据的爬取,在2020年7月13日至2020年7月20日之间爬取了3500万条数据。淘宝(中国)软件有限公司派工作人员前往商丘市公安局犯罪侦查支队直属二大队协助调查,通过嫌疑人逯某的电脑硬盘信息分析统计,共计12亿条手机号、user_nick等加密相关信息。

调取逯某电脑数据库中数据的统计显示,共有12亿条数据,据抽样1万条数据进行排查属正确关系对数据,主要字段包含user_id,user_nick,手机号,注册时间等属于淘宝实际认证的真实信息。

 

如此大量的数据,且涉及到客户的数字ID、昵称和手机号等,用在了哪里呢?

有证人证言证实,公司的主要业务是淘宝客,在微信群里进行淘宝商品的推广,从而获得淘宝网佣金和商家服务费。公司有社群部、招商部、客服部,社群部主要负责微信群的淘宝爆款商品链接的发送,客服部、招商部主要负责对接淘宝商家。上述证人甚至表示,不知公司有逯某这个人。

黎某也供述,在2019年底,逯某利用自写软件通过技术手段爬取淘宝网里的淘宝客户信息后,不定时的把公司需要的淘宝客户手机号码直接发送给我。我在收到淘宝客户手机号码之后会把这些信息数据导入“微信加人”软件,加微信好友成功后,由公司的员工负责发送广告链接,淘宝用户在该公司的广告群里购买商品,该公司获得佣金。

 

至此,案件事实和法益侵害性已基本清晰。

 

针对逯某的辩护人提出逯某是从犯的问题。法院查明,被告人逯某虽是受雇于被告人黎某,但信息是由逯某直接爬取,将其中一部分手机号提供给黎某用于公司经营活动,其在共同犯罪中并不起次要或辅助作用,不属从犯。法院没有采信逯某辩护人的意见。

黎某辩护人辩称,庭审中辩护人亦提交了返利部自2019年11月至2020年7月提现的明细,可以认定违法所得为340187.68元,被告人黎某系初犯,有坦白情节,认罪认罚,对其可从轻处罚。法院予以采信。

被告人逯某受雇于被告人黎某,二人违反国家规定,非法获取公民个人信息,情节特别严重,其行为均已构成侵犯公民个人信息罪。公诉机关指控罪名成立。且系共同犯罪,被告人逯某、黎某有坦白情节,且认罪认罚,对其均可从轻处罚。

 

 

虽然案件就此结束,但问题远未结束。

案件没有披露,或者是说案件背后没有展开的问题更值得关注,比如:判决书并未明确提及爬取的11亿条淘宝信息哪里去了?是否存在外泄?这些问题事关每一个用户的切身利益。

再比如:淘宝网作为国内最大的电子商务平台,在用户个人信息的安全防控上,是否也太容易被爬取或突破了,尤其涉及如此大量的用户信息?另外,2019年11月,逯某利用开发的软件爬取淘宝信息,而淘宝直到2020年7月,才发现爬虫,半年多的时间中,淘宝居然没有发现黑产爬虫,让人疑惑?

而关于严厉打击恶意爬虫,2019年时淘宝曾发布官方公告,但1年后,就有11亿条用户的个人信息被爬取,这多少有些讽刺的意味。

更进一步讲,如果有用户因为该案而导致个人信息权益受损,也有权利向法院提起诉讼,维护自己的合法权益。虽然国内用户大多没有这个权利意识,但也不妨碍把这个权利说出来。

11亿条淘宝用户的个人信息被爬取,这并非小事,不能像风吹过之后就消失不见,无论是对淘宝平台来说,还是对恶意爬虫从业者来说,都是个十足的警示,而对淘宝用户来说,也是个自我提醒和自我保护。

 

 

##########

posted @ 2021-11-19 19:07  技术改变命运Andy  阅读(2687)  评论(0编辑  收藏  举报