惊天大案！淘宝12亿条用户数据泄露

　　在这个万物互联的时代，我们的个人隐私遭到盗窃和泄露的几率非常高。
而在最近，淘宝网大量用户数据就遭到了泄露。6月3日，商丘市睢阳区人民法院在裁判文书网，公开了一份刑事判决书，显示两名犯罪分子在淘宝爬取并盗走大量数据。经过检方核实，被盗取的淘宝用户数据竟然高达近12亿条之多。

2020年8月14日淘宝（中国）软件有限公司报警，在2020年7月6日到2020年7月13日时，有黑产人员通过接口，绕过平台风控，批量爬取数据。在7月6日至7月13日之间，平均每天爬取数量500万，爬取内容包括买家UID、淘宝昵称、用户手机号等敏感信息。淘宝网站排查后发现，逯某有重大作案嫌疑，接到报警后，当地警方将此事立为刑事案件。经审理查明，逯某受雇于黎某，而后者成立了一家名为“浏阳市泰创网络科技”的公司，该公司设有返利部、客服部、招商部等部门。

铁马一听这个公司部门安排就知道，这是一家典型的淘宝客公司。所谓的淘宝客公司，就是以推广淘宝上产品来盈利的企业。别人点击了他们的链接去淘宝购物，那么淘宝就要给这些推广企业付费，一般按照销售出去的产品按照一定百分比分成。 逯某作为公司技术员，每月工资一万元。自2019年11月，逯某在家中利用自己开发的爬虫软件，通过淘宝网页接口爬取淘宝客户的信息，并将其中淘宝客户的手机号码提供给黎某，用于其任职公司的经营活动。而经过公检方面核查，逯某通过其开发的软件爬取淘宝客户的数字ID、淘宝昵称、手机号码等淘宝客户信息共计1180738048条。别数了，铁马给你数好了，一共11亿8千多万条。

拿到部分数据的这家淘宝客公司，自2019年11月份至2020年7月份利用该信息盈利，共获利340187.68元。逯某、黎某二人因为“侵犯公民个人信息罪”，分别被判处有期徒刑三年三个月和三年六个月，并处罚金人民币十万元和三十五万元。另外，铁马还发现了一个小细节。被告人逯某被逮捕后，曾供述：

“2019年11月份我开始用自写软件‘淘评评’，通过淘宝商品详细信息接口和淘宝信息分享接口，可以爬取淘宝客户的淘宝数字ID和淘宝昵称，通过淘宝分享接口可以爬取淘宝客户手机号信息。”

按照被告人逯某的说法，淘宝是有设计漏洞的，黑产程序员可以通过这几个接口爬取用户数据，这听起来实在太奇葩了，淘宝竟然对自己用户的数据不设防？

而淘宝也在庭审时派出了自己的安全风控员马某，作为证人。他表示对方是通过破解接口的形式进行加密数据的爬取。这里就牵扯到“谁在说谎”的问题了。著名网络安全媒体人“黑奇士”分析，如果是“破解接口”，那就属于入侵淘宝内部系统，触犯的是刑法286条“破坏计算机信息系统罪”。处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上有期徒刑。被告人逯某则供述，自己是通过爬虫获取了淘宝的数据，并不涉及“绕过、破解、破坏”，也就是没对淘宝的系统进行增加、删除、改变等行为，属于侵犯他人信息，可判处3年以上7年以下有期徒刑。从法院最终的判决认定也可以看出，认定逯某是“侵犯公民信息罪”，也就是并不支持淘宝方面的说法，认定逯某仅仅是盗窃了淘宝的数据，并没有破坏淘宝的数据。换句话说，法院认为逯某并没有绕过或者破坏淘宝的风控系统。这就有意思了。按照黑奇士的分析，淘宝竟然任凭他人利用自己的官方接口，调取用户数据，这个业务逻辑显然是有很大问题的。　　（下图截自：黑奇士 司马子羽）

对电商平台而言，用户个人信息是重中之重，绝不可能允许其他人随意获取。自己用户的信息都不能保证安全，谁还敢用你家的服务呢？而且你家的阿里云也有安全服务之类的产品，曝出这么大的问题，大家也会怀疑你家产品的可靠性。 另外，联想到之前淘宝封杀拼多多员工 IP地址的事，铁马也觉得值得深思。据观察者网2020年报道，有拼多多员工在社交媒体上反馈，自己无法使用淘宝聚划算百亿补贴、淘宝省钱月卡、天猫超市等多个业务。 之后，阿里巴巴聚划算承认有此事，同时指责某地区的“用户”疯狂爬取淘宝数据，套取优惠补贴。他们将相关 IP屏蔽了，还表示“我们不屏蔽亲，我们屏蔽坏人”。 在此之后，拼多多员工在知乎上表示，此次淘宝是直接按照拼多多员工的注册 IP 所在地，批量封锁拼多多的员工账号，有无辜员工被误伤。还有拼多多员工表示，淘宝封禁 IP 还造成了自己周边企业员工被误伤。 回过头来再看一下这次的淘宝数据泄露事件，其实都反映了一个问题：淘宝对自身数据的保护可能有问题。防不住爬虫可以理解，但是官方的公开接口有可能调取用户隐私数据，给黑产人员可乘之机，这就不仅是技术问题了，而是业务逻辑问题。另外，反爬虫技术防不住对方的爬虫，就把对方 IP 封掉，封的时候还造成了误伤，铁马这个吃瓜群众表示有点害怕，万一周围有人爬取淘宝数据，导致我号被封了，我去哪里哭去呀。最后，铁马想要引用黑奇士的话，来作为本文的结尾：“巨头信息外泄，抓几个淘客泄愤。我能说啥呢？”
　　

---