淘宝被非法爬取11.8亿条用户信息,两男子被判刑期超3年
原标题:淘宝被非法爬取11.8亿条用户信息,两男子被判刑期超3年
观察者网讯(文/胡毓靖 编辑/庄怡)平均一个月有9.25亿用户消费的淘宝,被非法爬取了11.8亿条用户信息。
近日,河南省商丘市睢阳区人民法院公布的刑事判决书显示,逯某和黎某两男子通过自己开发的爬虫软件,对淘宝实施了长达八个月的数据爬取,而在阿里发现这一问题前,他们已经获取了近12亿条用户消息。
{image=1}
法院裁定,逯某和黎某均犯侵犯公民个人信息罪,判处徒刑3年以上,共处罚金45万元,违法所得上缴国库。
观察者网就此事联系阿里巴巴方面,截至发稿,未收到回复。
而据《华尔街日报》援引一位阿里巴巴发言人回应称,该公司主动发现并处理了这起事件,正与执法部门合作保护用户。但该发言人并未明确说明具体有多少用户受到影响,只表示没有用户信息被卖给第三方,也没有产生经济方面的损失。
但这一说法与判决书内容并不相符。
观察者网查阅判决书发现,作案者逯某受雇于黎某,从2019年11月开始,在淘宝网站上使用自己设计的网页爬虫软件收集用户ID、手机号码和用户评论等内容,并将其中淘宝客户的手机号码提供给黎某开设的浏阳市泰创网络科技有限公司用于经营活动,而自2019年8月份至2020年7月份,该公司非法获利395万元。
判决书还显示,浏阳市泰创网络科技有限公司主要业务为“淘宝客”,主要是在微信群进行淘宝商品推广,从而获得淘宝网佣金和商家服务费,证人王某证言称,其公司社群组组员建好各自的微信群后将群二维码提供给老板黎某,然后就有人自动进群。
作为国内最大的购物平台之一,淘宝积累了海量用户隐私和消费数据。据阿里巴巴最新公布的2021财年第四季度财报,其中国零售市场的移动月活用户达9.25亿。2021财年,阿里巴巴全球活跃消费者达10亿。
数据安全保护存疏漏,阿里并非毫无责任
用户隐私泄露在互联网科技企业中频频出现,而电商平台一直是信息泄露的重灾区。2016年12月,京东因安全漏洞问题致使12G数据遭泄露,在黑市流通,信息包括用户名、密码、邮箱、QQ号、电话号码、身份证等多个维度,数据多达数千万条。
在用户信息泄露的暗面,是网络倒卖隐私的猖獗。据证券时报此前调查,有从事数据采集软件开发的公司,可从京东、淘宝、拼多多电商平台获取用户信息,软件交价仅3800元,用户只要购买,就能通过后台按照自己的需求,比如行业、地区、性别等导出自己想要的数据。
数据泄露信息频发,侧面体现了数据的重要性和价值,但也对互联网公司的数据保护能力提出了新的要求。北京观韬中茂律所胡杨律师向观察者网表示,本次案件中犯罪嫌疑人采取了非法手段爬取阿里系统内地数据,隐蔽性强。但阿里在该案件中并非毫无责任。
胡杨表示,该案件暴露出阿里对其数据安全保护的疏漏和不足,并且没有及时发现并采取补救措施。根据《网络安全法》第六十条,对其产品、服务存在的安全缺陷、漏洞等风险未立即采取补救措施,或者未按照规定及时告知用户并向有关主管部门报告的,由有关主管部门责令改正,给予警告。
拒不改正或者导致危害网络安全等后果的,处五万元以上五十万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。故,主管部门可对阿里巴巴给予责令改正警告的相关处罚。
胡杨认为,随着数据违法行为频发暴露了互联网公司对数据安全保护的重视和投入不足。国家近期正式发布了《数据安全法》,数据安全保护对于互联网公司来说不再是”选修课“,而是”必修课“,应当严格按照法律规定保护数据安全。
加强接口管控,引入第三方安全合作机制
上海谋乐网络科技有限公司联合创始人&CTO 张雪松告诉观察者网,在本次淘宝用户信息泄露事件中,阿里有技术能力可做到数据防泄漏。他推测,造成12亿条信息泄露,可能来自淘宝内部接口设计缺陷,以及违法方使用IP池手段规避了淘宝的反查。
张雪松介绍,淘宝有两个数据接口,在正常情况下反扒机制运行很好,对于连续爬取行为会及时阻断。但在接口设计上,淘宝并没有增加权限管控,禁止非本人访问用户的手机号等信息。“可能是基于传播需求或是其他更便利的需求开放了接口”,“我认为这是一个设计问题,而不是能力问题”。
此外,代理IP池的手段也让淘宝的反查机制难以准确运行。张雪松介绍,同一个IP爬取大量信息时,会触发淘宝的反查机制,但在使用代理IP的模式下,难度就非常高,“这本身也是行业难题”,他表示。
在本次事件中,犯罪嫌疑人爬取的是淘宝的数据,但实际受害的确是用户。对于用户隐私的维护,张雪松认为,阿里可以在接口设置上加强管控手段,尤其是手机号等隐私信息。
针对IP代理模式,张雪松认为阿里也完全有能力去建构风险库,将风险IP设为威胁特征库,加入到防控和风控体系内。此外,阿里还可适当引入第三方安全公司合作机制,对于海量数据进行更全面的核查,这样会完善安全机制。
责任编辑:尹悦
2020年全球共生产约520亿个口罩 至少有15.6亿个口罩流入海洋
企鹅尸体胃里取出口罩、海鸥双脚被口罩缠绕一周…据海洋保护组织OceansAsia发布的最新报告,2020年至少有15.6亿个口罩流入海洋。一次性口罩不可降解,若随意乱丢,对环境造成的危害难以估量。为了共同的家园,请不要乱丢口罩。{image=1}责任编辑:王蒙0004监管成代表议案关键词 互联网金融由高速发展到规范整治
徐诺金认为,互联网金融前期成长中政策环境的剧烈变动,造成了机构退出的巨大风险和社会成本,投资者损失惨重,引发诸多社会问题,互联网金融发展亟待尽快明朗政策预期和构建长效机制。互联网金融再度“缺席”两会政府工作报告监管成代表议案的关键词{image=1}0000毛利率低于蔚来理想,交付被特斯拉压制,小鹏路在何方?
文|资本侦探李婷婷在距离理想汽车成功挂牌纳斯达克仅一周后,另一家新能源车企小鹏汽车正式递交招股书,寻求纽交所上市。同样作为造车新势力的代表企业,理想和小鹏前后脚地奔赴资本市场——很难说这只是一个巧合。那么,小鹏汽车赴美IPO的背后,究竟是对掉队的恐慌?是跟风同行?还是属于新造车企业的时机已经来临?0001国内豆类“三兄弟” 节后跳空高开
本报记者?王?宁国庆中秋双节期间,国际商品市场走势偏强,其中,美豆更是创出近两年半以来新高。受此影响,10月9日,国内商品期市节后首日表现涨多跌少,豆类“三兄弟”(豆二、豆粕和豆油)同步跳空高开,截至收盘,豆二主力合约以7.5%的涨幅稳居首位,豆粕和豆油主力合约也都以不同涨幅排名靠前。0001违法违规"劣迹艺人"作品将被限播:涉及艺人私德作品并未纳入
对违法违规艺人的行业惩处将有法可依,有章可循!近日,国家广播电视总局起草的《中华人民共和国广播电视法(征求意见稿)》,公开向社会征求意见。其中提到,广播电视节目主创人员因违反相关法律、法规而造成不良社会影响的,国务院广播电视主管部门可以对有关节目的播放给予必要的限制。这意味着,对违法艺人作品的限制,在行业规范上将有法律依据。0002