在这个万物互联的时代,我们的个人隐私遭到盗窃和泄露的几率非常高。

而在最近,淘宝网大量用户数据就遭到了泄露。
6月3日,商丘市睢阳区人民法院在裁判文书网,公开了一份刑事判决书,显示两名犯罪分子在淘宝爬取并盗走大量数据。经过检方核实,被盗取的淘宝用户数据竟然高达近12亿条之多

惊天大案!淘宝12亿条用户数据泄露-冯金伟博客园

2020年8月14日淘宝(中国)软件有限公司报警,在2020年7月6日到2020年7月13日时,有黑产人员通过接口,绕过平台风控,批量爬取数据。
在7月6日至7月13日之间,平均每天爬取数量500万,爬取内容包括买家UID淘宝昵称用户手机号等敏感信息。
淘宝网站排查后发现,逯某有重大作案嫌疑,接到报警后,当地警方将此事立为刑事案件。
经审理查明,逯某受雇于黎某,而后者成立了一家名为“浏阳市泰创网络科技”的公司,该公司设有返利部、客服部、招商部等部门。

惊天大案!淘宝12亿条用户数据泄露-冯金伟博客园

铁马一听这个公司部门安排就知道,这是一家典型的淘宝客公司
所谓的淘宝客公司,就是以推广淘宝上产品来盈利的企业。别人点击了他们的链接去淘宝购那么淘宝就要给这些推广企业付费,一般按照销售出去的产品按照一定百分比分成。
惊天大案!淘宝12亿条用户数据泄露-冯金伟博客园
逯某作为公司技术员,每月工资一万元。自2019年11月,逯某在家中利用自己开发的爬虫软件,通过淘宝网页接口爬取淘宝客户的信息,并将其中淘宝客户的手机号码提供给黎某,用于其任职公司的经营活动。
而经过公检方面核查,逯某通过其开发的软件爬取淘宝客户的数字ID、淘宝昵称、手机号码等淘宝客户信息共计1180738048条。
别数了,铁马给你数好了,一共11亿8千多万条

惊天大案!淘宝12亿条用户数据泄露-冯金伟博客园

拿到部分数据的这家淘宝客公司,自2019年11月份至2020年7月份利用该信息盈利,共获利340187.68元
逯某、黎某二人因为“侵犯公民个人信息罪”,分别被判处有期徒刑三年三个月和三年六个月,并处罚金人民币十万元和三十五万元。
另外,铁马还发现了一个小细节。
被告人逯某被逮捕后,曾供述:
“2019年11月份我开始用自写软件‘淘评评’,通过淘宝商品详细信息接口和淘宝信息分享接口,可以爬取淘宝客户的淘宝数字ID和淘宝昵称,通过淘宝分享接口可以爬取淘宝客户手机号信息。”
按照被告人逯某的说法,淘宝是有设计漏洞的,黑产程序员可以通过这几个接口爬取用户数据,这听起来实在太奇葩了,淘宝竟然对自己用户的数据不设防?

惊天大案!淘宝12亿条用户数据泄露-冯金伟博客园

而淘宝也在庭审时派出了自己的安全风控员马某,作为证人。他表示对方是通过破解接口的形式进行加密数据的爬取
这里就牵扯到“谁在说谎”的问题了。
著名网络安全媒体人“黑奇士”分析,如果是“破解接口”,那就属于入侵淘宝内部系统,触犯的是刑法286条“破坏计算机信息系统罪”。处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。
被告人逯某则供述,自己是通过爬虫获取了淘宝的数据,并不涉及“绕过、破解、破坏”,也就是没对淘宝的系统进行增加、删除、改变等行为,属于侵犯他人信息,可判处3年以上7年以下有期徒刑。
从法院最终的判决认定也可以看出,认定逯某是“侵犯公民信息罪”,也就是并不支持淘宝方面的说法,认定逯某仅仅是盗窃了淘宝的数据,并没有破坏淘宝的数据。
换句话说,法院认为逯某并没有绕过或者破坏淘宝的风控系统
这就有意思了。
按照黑奇士的分析,淘宝竟然任凭他人利用自己的官方接口,调取用户数据,这个业务逻辑显然是有很大问题的

(下图截自:黑奇士 司马子羽)

惊天大案!淘宝12亿条用户数据泄露-冯金伟博客园

对电商平台而言,用户个人信息是重中之重,绝不可能允许其他人随意获取。
自己用户的信息都不能保证安全,谁还敢用你家的服务呢?
而且你家的阿里云也有安全服务之类的产品,曝出这么大的问题,大家也会怀疑你家产品的可靠性。
惊天大案!淘宝12亿条用户数据泄露-冯金伟博客园
另外,联想到之前淘宝封杀拼多多员工 IP地址的事,铁马也觉得值得深思。
据观察者网2020年报道,有拼多多员工在社交媒体上反馈,自己无法使用淘宝聚划算百亿补贴、淘宝省钱月卡、天猫超市等多个业务。
惊天大案!淘宝12亿条用户数据泄露-冯金伟博客园
之后,阿里巴巴聚划算承认有此事,同时指责某地区的“用户”疯狂爬取淘宝数据,套取优惠补贴。他们将相关 IP屏蔽了,还表示“我们不屏蔽亲,我们屏蔽坏人”。
惊天大案!淘宝12亿条用户数据泄露-冯金伟博客园
在此之后,拼多多员工在知乎上表示,此次淘宝是直接按照拼多多员工的注册 IP 所在地,批量封锁拼多多的员工账号,有无辜员工被误伤。还有拼多多员工表示,淘宝封禁 IP 还造成了自己周边企业员工被误伤
惊天大案!淘宝12亿条用户数据泄露-冯金伟博客园
回过头来再看一下这次的淘宝数据泄露事件,其实都反映了一个问题:淘宝对自身数据的保护可能有问题。防不住爬虫可以理解,但是官方的公开接口有可能调取用户隐私数据,给黑产人员可乘之机,这就不仅是技术问题了,而是业务逻辑问题
另外,反爬虫技术防不住对方的爬虫,就把对方 IP 封掉,封的时候还造成了误伤,铁马这个吃瓜群众表示有点害怕,万一周围有人爬取淘宝数据,导致我号被封了,我去哪里哭去呀。
最后,铁马想要引用黑奇士的话,来作为本文的结尾:
巨头信息外泄,抓几个淘客泄愤。我能说啥呢?