2020年8月15日,数名公安特警闯进了河南省商丘市长江路的格林豪泰酒店,在一间客房内,他们抓捕了43岁的本地青年逯某。
生活在这座三线城市的逯某没有一份正式的工作,此前的好几个月,他的收入都是来自于一份网络兼职,远程为湖南省浏阳市的一家只有32人的科技公司担任技术员。每月领取固定报酬:
1万元。
这家科技公司的业务也非常简单,向微信用户推荐淘宝网店的优惠券,当用户使用这些优惠券成功购买商品时,他们就能从淘宝网获得返佣。在开展这项业务的9个月内,他们把数以万计的微信用户拉进了上千个微信群,获得的返佣总额却算不上出色:
340187.68元。
但是,当公安民警们启动逯某在家中使用的台式电脑时,他们发现了令人乍舌的证据:早在9个月前,逯某就已经破解了淘宝网的网络接口,并通过自己开发的爬虫软件源源不断的盗取了海量用户的加密数据。
按照淘宝员工后来对逯某电脑硬盘信息进行分析统计,这些被盗取的用户加密数据的信息规模达到:
12亿条。
而阿里巴巴在财报中披露的数据,截至2020年6月,大约有8.74亿人每月至少使用一次淘宝网。12亿条用户数据,意味着在被捕前,逯某盗取的数据信息可能覆盖了淘宝网的所有用户。
直到2020年7月13日,淘宝的风控安全员才发现了端倪,他注意到了平台的评价接口存在异常流量。做了风险排查后,淘宝发现:
在2020年7月13日至2020年7月20日,8天时间就有3500万条数据被爬取。
他们这才锁定了嫌疑人,并赶赴河南商丘报了警。
故事的场面就是这样匪夷所思:当你登陆世界最大的购物平台淘宝网时,你的账户UID、注册时间、淘宝昵称、手机号、还有你在淘宝网上发布的商品评价可能都已经被逯某转移到了自己的电脑硬盘上,而这个硬盘就这样平凡无奇的安装在河南省商丘市长江路民政局家属院的一间屋子里。
当这位神奇的男子逯某盗走12亿条用户信息后,只是用一个命名为“userinfo”的表格记录下来,然后时不时的把部分电话号码批量的通过微信发送给38岁的湖南浏阳青年黎某,他是浏阳市那家只有32人的科技公司的创始人。
当公安特警们在河南商丘逮捕逯某的6天后,在同一条大街上的另一家酒店里,他们逮捕了黎某。截至当时,已经有近20万个淘宝用户的手机号码被发送给黎某。
手握近20万个手机号码的黎某没有拿出去倒卖,他打开了一款由逯某在4年前编写的叫“微信加人”的软件,批量地通过手机号添加散布在天海海北的淘宝用户的微信,只要添加成功,他就会把这些用户拉进一个个微信群里,然后不厌其烦的分享淘宝网上那些爆款商品的优惠券。
数以亿计的淘宝用户们应该庆幸,在持续如此长时间的信息被泄密过程中,自己的个人信息只是被黎某用于建立自己的私域流量,而没有被倒卖用作他途。
淘宝12亿条用户信息被泄密,为什么像什么都没有发生?
43岁的逯某和38岁的黎某被逮捕后,直到上个月被宣判,他们都被认定有坦白情节,且认罪认罚,获得从轻处罚,分别领刑三年三个月和三年六个月。
逯某给自己做出的唯一辩护是只承认采集了5000万条信息,另11亿8000万条并不是自己采集的,而是:
“从其它地方下载的”。
法院驳回了他的自辩,理由是:淘宝公司报警时说的是自2020年7月6日至7月13日每天被侵犯信息都有500万条,而逯某供述其是从2019年11月开始爬取淘宝信息的,在他的电脑上提取信息刚好是11亿多条。
于是,用250左右的天数乘以500万,得到的信息条数和查证的条数数据差距并不大,能相互印证。
这个逻辑是否严密我们尊重法院判决,但是,作为一名可能被盗取了个人信息的淘宝用户,我也想听听逯某说说:
那11亿8000万条用户信息究竟从哪儿下载的?
这次案件的裁判文书在网络被公布的几天后,一部《中华人民共和国数据安全法》正式通过,公民的数据安全可获得更多的法律保障。
但是,如果不是这个案件的法律文书被公布,我甚至可能永远不知道自己的淘宝昵称、手机号、还有在淘宝发布的商品点评曾经躺在一个河南青年家中的硬盘里,而淘宝网至今连一句道歉都没有。
好吧,为表达抗议,我今天把自己的淘宝昵称改了:
“无疫烦”。