淘寶網近12億條用戶資料被竊。(阿里足跡網站)
內地最高人民法院「中國裁判文書網」月初披露一宗驚天大案的判決書,指阿里巴巴旗下淘寶網2019年11月起至去年7月,有11.8億條用戶數據被竊,包括用戶帳號、淘寶暱稱、手機號碼等。犯案的湖南瀏陽市泰創網路科技公司姓黎創辦人及姓逯技術員去年8月被捕,今年5月在河南商丘睢陽區人民法院一審被判「侵犯公民個人信息罪」罪成,分別監禁3年6個月及3年3個月,並分別罰款35萬元(人民幣,下同)及10萬元。判決書提到,該公司利用竊得的淘寶用戶數據非法獲利34萬元,全部追繳上繳國庫。
美國《華爾街日報》引述阿里巴巴發言人表示,事件是由公司主動發現,正配合執法部門工作,以保障用戶。不過,發言人未有透露受影響用戶數目,僅強調並無用戶資料轉售予第三方,亦無經濟損失。
黑客編寫網絡爬蟲軟件
判決書顯示,黎男2012年起做「淘寶客」生意,即是為淘寶商家「帶貨」(推廣商品),從而抽取佣金和服務費,需要接觸到大量淘寶用戶。黎男2017年在QQ群組結識逯男後,先請逯男為其編寫「微信加人」軟件,以便在微信大量加人宣傳,隨後在2018年1月成立涉事公司,聘用逯男為技術員。2019年11月,逯男為黎男編寫網絡爬蟲軟件,接入淘寶網商品評價接口,爬取淘寶買家帳號、暱稱、手機號碼等資料;黎男收到資料後,將淘寶買家手機號碼導入「微信加人」軟件,成功加人後即發送廣告連結,吸引對方經其公司領取「淘寶聯盟」優惠券,再購買淘寶商品。去年7月13日,淘寶網安全風控員發現網站的評價接口流量異常,調查後方發現有人爬取加密數據,7月6日至13日之間平均每天爬取500萬條,7月13日至20日之間爬取3,500萬條。淘寶(中國)軟件有限公司去年8月14日報警。
判決書提到,涉事公司有32名員工。有員工的證供指出,公司曾在抖音宣傳,但效果欠佳就無再做,而公司約有600至1,100個微信群組,每個群組最多有200人,都是員工各自建立好群組後,將群組QR code提供給黎男,「然後就有人自動進群」,不清楚這些客戶來源。