惊天大案！淘宝12亿条客户信息遭爬取，黑客非法获利34万元

baby09

红星资本局原创
记者 | 李伟铭 李晨
编辑 | 杨程
许多人可能经历过这样的事件：当你在某个网站上注册个人信息后，装修的、卖房的、贷款的……各种骚扰电话接踵而至。这些信息到底是怎么泄露的呢？
红星资本局注意到，裁判文书网最近就披露了一起惊天大案：两名犯罪分子在淘宝网爬取并盗走大量数据。经过核实，此次泄露的个人信息竟然高达近 12 亿条。
法网恢恢，疏而不漏。最终，两名犯罪分子受到了法律的制裁。


裁判文书截图
有律师在接受红星资本局采访时认为，在各种平台注册时应尽量少填写个人信息，如果允许填虚拟的信息，就不填真实的。一旦发现个人信息泄露后，应立即报警。
12 亿条淘宝客户信息被爬取
2020 年 7 月 13 日，淘宝网安全风控员风某，在工作中忽然发现，淘宝网平台的评价接口存在异常流量行为。经排查后发现，有人通过破解接口的形式进行加密数据的爬取。
淘宝（中国）软件有限公司立即向警方报案称，在 2020 年 7 月 6 日到 2020 年 7 月 13 日时，有人通过 MTOP（淘宝无线开放平台）订单评价接口绕过平台风控批量爬取加密数据，爬取字段量巨大。
根据统计发现，2020 年 7 月 6 日至 7 月 13 日之间平均每天爬取数量 500 万，爬取内容包括买家用户昵称、用户评价内容、昵称等敏感字段。同时，经淘宝网站排查发现，逯某有重大作案嫌疑，作案地点为河南省商丘市睢阳区新城街道长江路民政局家属院。
同年 8 月 15 日，逯某在商丘市睢阳区长江路格林豪泰酒店内被警方抓获，于同日被刑拘，同年 9 月 22 日被逮捕；黎某于同年 8 月 21 日在商丘市睢阳区长江路唯美酒店内被警方抓获，8 月 22 日被刑拘，同年 9 月 22 日被逮捕。
同时，警方对逯某住处及黎某创办的浏阳市泰创网络科技公司办公室进行了搜查。扣押逯某电脑主机 5 台、电脑显示器 3 台和手机 5 个。
经过司法鉴定，逯某通过其开发的软件爬取淘宝客户的数字 ID、淘宝昵称、手机号码等淘宝客户信息共计 1180738048 条（即：11.8 亿条），逯某将其爬取信息中的淘宝客户手机号码通过微信文件的形式发送给黎某使用共计 19712611 条（1971 万条）。
开发软件侵入淘宝信息接口
出生于 1983 年 12 月的黎某是湖南省浏阳市人，从 2012 年开始做淘宝客生意，即通过做淘宝推广赚取淘宝客佣金，其关键就是需要大量的淘宝客户联系方式。
2017 年 7 月，黎某在网上认识了逯某。双方谈起上述生意时，黎某提到，" 很难获取大量的淘宝客户联系方式 "。为此，逯某为其编了一个 " 微信加人 " 软件，并且没收钱。" 这个软件使用起来非常方便，也利于淘宝客生意。我觉得他有很好的网络编程技术，于是就承诺逯某，待成立了公司，算逯某技术入股。" 黎某供述称。
2019 年 3 月，黎某成立了浏阳市泰创网络科技有限公司，该公司主要做 " 淘宝联盟 " 里的淘宝返利——主要用一些手机号，加对方微信好友进行推广淘宝商品，让用户领取 " 淘宝联盟 " 优惠券，对方使用优惠券成功购买商品，该公司会获得返利。" 我当时就成为该公司的技术员，一直在家远程办公，从 2019 年 3 月份开始，黎某给我每月 1 万元报酬。" 逯某称。
同时，该公司一位工作人员潘某证实，该公司以前通过抖音推广但效果一直不好就停了。于是，黎某就将希望寄托在了逯某的身上。
2019 年 11 月份，逯某自写软件 " 淘评评 "。该软件可以通过淘宝商品详细信息接口和淘宝信息分享接口，爬取淘宝客户的淘宝数字 ID 和淘宝昵称，通过淘宝分享接口爬取淘宝客户手机号信息。
随后，逯某将爬取的客户手机号码信息提供给黎某，爬取的淘宝客户 ID 和淘宝昵称等信息，存在了自己的电脑硬盘里，没有提供给黎某和外泄。根据其供述称，自 2019 年 11 月份起，他爬取采集成功的数据最起码有 5000 万条，每条分为 3 个字段包含 UID、淘宝昵称、用户手机号。
逯某供述
加好友发广告拿佣金
非法获利 34 万元
那么，黎某获得这些信息又拿去干嘛了呢？
黎某称，他在收到淘宝客户手机号码之后，会把这些信息数据导入 " 微信加人 " 软件，加微信好友成功后，由浏阳市泰创网络科技有限公司的员工负责发送广告链接，淘宝用户在该公司的广告群里购买商品，该公司获得佣金。
该公司一位工作人员王某透露，该公司约有 1100 个微信群，每个微信群最多有 200 人，最少约 90 人。其主营业务就是帮淘宝商家带货，从而获得淘宝网佣金和商家服务费。至于其淘宝客户来源，该人员称 " 不清楚 "。" 我们建好微信群后，将群二维码提供给老板黎某，然后就有人自动进群。" 王某称。
经过统计，浏阳市泰创网络科技有限公司自 2019 年 11 月份至 2020 年 7 月份利用该信息经营共非法获利 340187.68 元。


审理查明情况
法院判决：
非法获取个人信息，分别判刑 3 年多
上述两人被抓后，商丘市睢阳区人民检察院以 " 侵犯公民个人信息 " 为由，将其起诉至河南省商丘市睢阳区人民法院。
经过审判，法院认为，逯某受雇于黎某，二人违反国家规定，非法获取公民个人信息，情节特别严重，其行为均已构成侵犯公民个人信息罪。
综合其犯罪情节及社会危害性，法院依法判决：黎某犯侵犯公民个人信息罪，判处有期徒刑三年六个月，并处罚金人民币三十五万元。逯某犯侵犯公民个人信息罪，判处有期徒刑三年三个月，并处罚金人民币十万元。同时，黎某、逯某违法所得依法继续予以追缴上缴国库；依法扣押作案工具。
不过，此次为一审判决。如果不服还可提起上诉。


裁判结果
律师支招：
注册时少填个人信息，泄露后应报警
不过，红星资本局注意到，裁判文书并未指出淘宝网在此案件中是否应承担相应的责任。
结合此案，陕西恒达律师事务所高级合伙人、知名公益律师赵良善告诉红星资本局，不法分子开发软件窃取用户的个人信息，不法分子是第一责任人，不法分子逃脱不了责任。" 此案中，淘宝网平台如果未尽到认真审核及管理等责任，致使用户的个人信息被泄露的，淘宝网平台需要向用户承担过错责任。如果尽到了相应责任，比如及时发现不法分子窃取用户信息，第一时间报警，避免用户损失扩大的，则淘宝网平台不存在过错，在这种情况下，淘宝网平台可免责。"
为此，赵良善提醒，用户在淘宝注册信息时，应尽量少填写一些个人信息，不填无关紧要的信息。" 如果允许填虚拟的信息，就不填真实的。同时，个人信息注册后，自己平时也要注意手机里不要存放自己的身份证照片，因为一旦手机丢失，别人很容易就改掉你的支付宝支付密码。"
那么，如果发现个人信息泄露后该怎么办呢？
赵善良认为，用户发现其个人信息被泄露，首先选择报警，由警方立案调查。
据介绍，按照法律规定，窃取个人信息并出售或提供给他人，达到一定数量的，就涉嫌侵犯公民个人信息罪，可追究不法分子刑事责任。" 如果不构成犯罪的，根据《民法典》第 1032 条规定：自然人享有隐私权。任何组织或者个人不得侵害他人的隐私权。用户还有权向法院提起诉讼，要求侵权人停止侵权、赔礼道歉、赔偿损失等。"
红星资本局关注上市公司的一切新闻
欢迎报料，私信小编！






更多视频新闻
请关注 " 红星资本局 " 视频号↓↓↓