首页 > 研究院 > 正文

震惊!淘宝超11.8亿条客户信息遭非法爬取泄露 二人双双获刑3年以上

科技金融在线 | 2021-06-17

导语
近日,又有一起利用爬虫技术侵犯公民个人信息的案件公之于众。作案者在八个月的时间里利用爬虫技术盗走大批用户个人信息,数量一度达到惊人的11.8亿条,而被爬取的对象正是大家耳熟能详的购物APP——淘宝。

爬虫玩得好,监狱进得早!数据玩得溜,牢饭吃个够!

一年多前,杭州、上海多家数据科技公司接连被查,一时间大数据行业人人自危,纷纷关闭旗下的爬虫服务。其中,业内较为知名的大数据公司魔蝎科技,一度因侵犯公民个人信息罪被法院判处罚金3000万,同时公司法人和技术总监等人悉数获刑。

近日,裁判文书网公布一则刑事判决书,又将一起利用爬虫技术侵犯公民个人信息的案件公之于众。作案者在八个月的时间里利用爬虫技术盗走大批用户个人信息,数量一度达到惊人的11.8亿条,而被爬取的对象正是大家耳熟能详的购物APP——淘宝。

如果你曾收到过加微信送礼品,或邀请刷单等各类信息,那说明你很可能已经中招了。

QQ群中相识

在这起侵犯公民信息的案件中,主要涉及两名犯罪人员,一位80后、初中文化的黎某,家住湖南浏阳市;另一位是70后、本科毕业的逮某,河南商丘人。前者为后者的老板。

2017年7月,逮某在QQ群里认识了黎某,黎某当时在做“淘宝客”,需要一些“淘宝客”软件,于是逮某为黎某免费编了个“微信加人”软件,二人就此相识。

由于编写软件没收黎某的钱,黎某于是向逮某承诺,以后如果成立了公司算逮某技术入股。

2018年1月,黎某果然成立了一家名叫浏阳市泰创网络科技有限公司(下称:泰创科技)的企业,于是聘任逮某为公司的技术员,逮某一直在家远程办公,月薪一万。

泰创科技的主要业务是淘宝客,在微信群里进行淘宝商品的推广,从而获得淘宝网佣金和商家服务费。公司有社群部、招商部、客服部等,总共32人。社群部主要负责微信群的淘宝爆款商品链接的发送,客服部、招商部主要负责对接淘宝商家。

爬取淘宝客户信息

2019年11月,逮某开始用自写软件“淘评评”,通过淘宝商品详细信息接口和淘宝信息分享接口,爬取淘宝客户的淘宝数字ID和淘宝昵称,通过淘宝分享接口爬取淘宝客户手机号信息。

其中,爬取到客户手机号码信息后,逮某都会通过微信文件提供给黎某,爬取的淘宝客户ID和淘宝昵称都存在了逮某的电脑硬盘里,没有提供给黎某和外泄。

而黎某在收到逮某发来的淘宝客户手机号码之后,会把这些信息数据导入“微信加人”软件,加微信好友成功后,由泰创科技的员工负责发送广告链接。

由于泰创科技做的是“淘宝联盟”里的淘宝返利,主要用这些手机号加对方微信好友进行推广淘宝商品,让用户领取“淘宝联盟”优惠券,对方使用优惠券成功在该公司的广告群里购买商品,公司会获得返利。

超11.8亿条淘宝客户信息泄露

那么逮某究竟爬取了多少淘宝客户的个人信息呢?

经司法鉴定,逯某通过其开发的软件爬取淘宝客户的数字ID、淘宝昵称、手机号码等淘宝客户信息共计1180738048条。

而逯某将其爬取信息中的淘宝客户手机号码发送给黎某使用的共计有19712611条。

利用这些非法获取的淘宝客户信息,黎某组织员工建立了大量的微信群,以供非法获利之用。

据证人王某表示,泰创科技约有1100个微信群,每个微信群最多有200人,最少约90人。公司社群组组员建好各自的微信群后,将群二维码提供给老板黎某,然后就有人自动进群。

经法院审理查明,泰创科技公司利用逮某爬取的淘宝客户的信息,自2019年11月份至2020年7月份,共非法获利约34.02万元。

二人双双获刑3年以上

天网恢恢,逮某与黎某二人的非法行径最终败露。

2020年8月14日,淘宝报称警,在2020年7月6日到2020年7月13日时,有黑产通过订单评价接口绕过平台风控,批量爬取加密数据,爬取字段量巨大。

仅7月6日至7月13日之间,平均每天爬取数量高达500万,爬取内容包括买家用户昵称,用户评价内容,昵称等敏感字段。经淘宝网站排查发现,逯某有重大作案嫌疑。

2020年8月15日,逯某被警方在商丘市一格林豪泰酒店内抓获。七天后,黎某也被警方在商丘市一酒店内抓获。

逯某表示,其将11.8亿条淘宝客户信息发给黎某之后,黎某会转一笔费用给他,整个获利只有六七万或七八万元。

法院认为,逯某受雇于黎某,二人违反国家规定,非法获取公民个人信息,情节特别严重,其行为均已构成侵犯公民个人信息罪。

于是,黎某被判3年半,罚款35万元;逮某被判3年3个月,罚款10万。

非法爬取个人信息早有先例

事实上,网络爬虫技术本为互联网行业的常用技术之一,原是平台按照一定规则,自动从互联网上提取网络信息的程序或脚本。这一技术在大数据分析、舆情检测等各个领域被广泛应用,法律上也并未明令禁止。

不过,如果爬取的数据来源不合法,或未取得同意便抓取个人信息,技术使用者则会涉嫌构成侵犯公民个人信息罪、非法侵入计算机信息系统罪等相关罪名。

比如,2019年9月前后,多家数据公司接连被查。其中便包括魔蝎科技、聚信立、新颜科技、公信宝、同盾科技等等。而这些数据科技公司被查的原因,便多与违规使用爬虫数据以协助平台进行暴力催收有关。其中最知名的当属魔蝎科技。

此前官网显示,魔蝎科技成立于2016年,是国内领先的大数据智能风控服务供应商,为2000多家银行、消费金融、保险、互联网金融等客户提供精准营销评分模型、反欺诈、多维度用户画像、授信评分、贷后预警、催收智能运筹等全面风险管理服务。

然而,经过法院审理查明,魔蝎科技利用其开发的前端插件,嵌入网贷平台中,网贷平台用户使用网贷平台App借款时,需要在魔蝎科技提供的前端插件上输入其通讯运营商、社保、公积金、淘宝、京东、学信网、征信中心等网站的账号、密码。

经过用户授权后,魔蝎科技的爬虫程序即代替用户进入其个人账户,利用各类爬虫技术,爬取(复制)上述企、事业单位网站上贷款用户本人账户内的通话记录、社保、公积金等各类数据,并按与用户的约定提供给网贷平台用于判断用户的资信情况。而魔蝎科技则从网贷平台获取每笔0.1元至0.3元不等的费用。

值得一提的是,尽管魔蝎科技在和个人贷款用户签订的《数据采集服务协议》中明确告知,“不会保存用户账号密码”,但实际上却长期保存用户各类账号和密码。

数据显示,截至2019年9月案发时,魔蝎科技以明文形式非法保存的个人贷款用户各类账号和密码条数多达2000万余条。

而根据相关法律,非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息50条以上即可入罪。

今年1月,杭州西湖区人民法院对魔蝎科技侵犯公民个人信息案进行一审宣判。法院认为,魔蝎科技非法获取公民个人信息,情节特别严重,已构成侵犯公民个人信息罪,判处罚金3000万元。

同时,魔蝎科技法人、总经理周某某获刑3年,处罚金50万元;技术总监袁某获刑3年,处罚金30万元。


关键词: 淘宝 个人信息 泄露

推荐阅读

评论专区

合作专区

Copyright©2017 jrkjaq.com All Rights Reserved 京ICP备 15055553号-5 众富(北京)网络科技有限责任公司